Wie der französische Blogger Gu1 aufgedeckt hat, enthält X-Server von X.org eine schwerwiegende Sicherheitslücke. Ab der Version 1.11, die im September 2011 erschienen ist, kann jeder, der die Tasten Strg, Alt und die Multiplikationstaste oder die Divisionstaste des Ziffernblocks gleichzeitig drückt, den eingestellten Bildschirmschoner beenden und den Computer entsperren.  

"AllowClosedownGrabs" ist schuld

Betroffen sind alle Linux-Distributionen die X-Server ab Version 1.11 benutzen. (z.B. Arch Linux und Debian Wheezy) Gu1 führt das Problem auf die Debug-Option "AllowClosedownGrabs" zurück. Ist diese Option aktiv, beendet die Tastenkombination alle Prozesse, die Eingaben über die Maus oder die Tastatur abfangen sollen. Im Fall von X-Server ist das der Bildschirmschoner.

2008 bereits entfernt

Die Option wurde 2008 schon einmal entfernt. 2011 ist sie wieder eingeführt worden, berichtet Gu1. Bis 2008 war sie allerdings standardmäßig inaktiv und gut dokumentiert. Die Entwickler haben damals auch ausdrücklich vor den Sicherheitsproblemen mit dem Bildschirmschoner gewarnt. Mit einer API konnte die Funktion abgeschaltet werden. Seit 2011 ist sie aber "standardmäßig aktiv, schlecht dokumentiert und schwer konfigurierbar", schreibt Gu1.

Fehlende Kommunikation

Peter Hutterer, Entwickler bei X.org, schreibt, dass fehlende Kommunikation der Grund für das Problem ist. Nachdem die Option wieder eingebaut wurde, hat man vergessen, die Tastenkombination aus der Standard-Keymap zu löschen.

Problem per Hand lösen

Um herauszufinden, welche X-Server-Version in der eigenen Linux-Distribution verwendet wird, muss man den Befehl "X -version" ausführen. Sollte X-Server in der Version 1.11 oder höher im Einsatz sein, kann man das Problem beheben, indem man sämtliche Verweise auf XF86Ungrab und XF86ClearGrab per Hand aus der xkb-Konfiguration löscht oder vlock einsetzt, schreibt Gu1. (soc)