Ubuntu-Sicherheitslücke im Sperrbildschirm geschlossen
Nutzer der aktuellen Ubuntu-Version 14.04 LTS sollten eine Aktualisierung von Unity vornehmen, um eine fehlerbereinigte Version der Desktop-Umgebung einzuspielen. Die Entwickler haben hier einen Fehler behoben, der unter Umständen das Passwort in das falsche Eingabefeld einträgt.
Der Fehler konnte in aktuellen Versionen von Ubuntu unter Umständen dazu führen, dass ein Passwort zum Entsperren des Bildschirms nicht in das Eingabefeld des Sperrbildschirms eingetragen wurde, sondern in eine andere, unsichtbar darunter liegende Maske eines anderen Programms wie etwa der Google-Suche oder eines IRC-Clients. Wenn der Anwender das Passwort blind eintippt und übersieht, dass die Punkte pro Zeichen nicht in der Eingabemaske des Sperrbildschirms auftauchen, kann er mit dem Betätigen der Eingabetaste sein Passwort ungewollt veröffentlichen.
Der Fehler tritt aufgrund einer Race Condition auf, die nicht den im Vordergrund liegenden Sperrbildschirm, sondern ein zufällig darunterliegendes Fenster fokussiert. Obwohl das Gefahrenpotential dieses Fehlers relativ gering erscheint, wurde er als kritisch eingestuft und nun behoben. Die neuen Versionen von Unity tragen für Ubuntu 14.04 die Versionsbezeichnung 7.2.2+14.04.20140714-0ubuntu1.1 und für die Vorabversionen von Ubuntu 14.10 heißt das Paket 7.3.0+14.10.20140731.1-0ubuntu1. Anwender sind angehalten, die neuen Pakete zeitnah einzuspielen.
Fehler im Sperrbildschirm traten bei Ubuntu in der Vergangenheit bereits öfter auf. So konnte durch längeres Drücken der Eingabetaste der Sperrbildschirm ohne Passwort entriegelt werden. Ein anderer Fehler betraf falsch gefilterte Tastatur-Shortcuts, die unter Umständen zum Entsperren ausgenutzt werden konnten. Martin Gräßlin, KDE-Entwickler und für den Fenstermanager Kwin zuständig, erläuterte auf Google + anlässlich eines Fehlers in Unity im April die Tücken des Sperrbildschirms. Sein Tenor: Bildschirmsperren unter X11 sind generell anfällig für solche Fehler. Ein Fehler im Prozess bei der Verarbeitung des Passworts oder das Einfrieren oder Abstürzen des Prozesses darf in keinem Fall die Bildschirmsperre aufheben.