Bundesamt für Sicherheit in der Informationstechnik

G 4.12 Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client

Für das X-Window-System gilt im besonderen Maße, dass es ohne geeignete Sicherheitsmechanismen, wie z. B. "Magic Cookies" oder Verwendung von Secure Shell, nur in einer vertrauenswürdigen Umgebung eingesetzt werden sollte. Ohne Sicherheitsfunktionen besteht für alle beteiligten Benutzer die Möglichkeit, sowohl den X-Client als auch den X-Server zu korrumpieren. Der X-Server-Prozess, der auf einem Rechner für die Ein- und Ausgabe zuständig ist, kann nicht erkennen, wem der X-Client-Prozess gehört, der mit ihm kommuniziert. Alle X-Clients können also auf alle Daten, die auf einem X-Server eingegeben werden, zugreifen, und der X-Server hat keine Möglichkeit festzustellen, von welchem X-Client er Daten erhält. So simuliert z. B. das Programm meltdown das optische "Schmelzen" des Bildschirms eines beliebigen X-Servers. Genauso ist es möglich, Daten von einem xterm-Client zu lesen oder ihm eigene Daten zu schicken, also z. B. Bildschirmabzüge von einem anderen, mit X-Window arbeitenden Rechner zu machen.

Beispiele:

  • Mit dem Tool xspy lassen sich automatisiert Tastatureingaben auf einem Xterm remote protokollieren.
  • Fenster, die von einem Angreifer auf einem X-Server dargestellt werden, sind optisch nicht von denen des eigentlich gewünschten X-Clients zu unterscheiden. Ein Angreifer kann auf diese Weise falsche Informationen einschleusen oder mit Hilfe von gefälschten Fenstern die Eingabe von sensitiven Informationen provozieren.

Stand: 1. EL Stand Januar 2000

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK