パスワードを忘れた? アカウント作成
10503786 story
X

1991年から存在していたX11のバグが発見される 37

ストーリー by headless
発見 部門より
あるAnonymous Coward 曰く、

X.Orgは7日、X11に1991年から存在する脆弱性が発見されたことを発表した(X.Org Security Advisory: CVE-2013-6462Phoronixの記事本家/.)。

原因はlibXfontのバグで、BDF形式のフォントファイルをパースする際にスタックオーバーフローを引き起こす可能性があるというもの。このバグはX11R5から存在し、libXfont 1.4.6に至るすべてのバージョンに影響するという。

なお、X.Orgではバグを修正したlibXfont 1.4.7を1月7日にリリースしている(libXfontのgitリポジトリ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • フォントか (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2014年01月13日 13時52分 (#2526417)

    フォントなのか

  • by Anonymous Coward on 2014年01月13日 16時01分 (#2526466)

    「Windows が特別に細工された OpenType フォント ファイルや TrueType フォント (TTF) ファイルを処理する方法、および Windows がメモリ内のオブジェクトを処理する方法を修正することにより、これらの脆弱性を解決します。」というMSxx-xxxの説明を何度見たことか。

    セキュリティバグだけど、そのためにまず特定の特別に細工された悪用用フォントをロードさせるところから始めるんだから悪用の実用度低いと思うけどねぇ。

    ちなみに「特別に細工されたフォント [microsoft.com]」のキーワードでTechnetで検索すると約 16,300 件もヒットしちゃう。
    ※このキーワードで脆弱性情報以外の話題が入るとは思えない

  • by miyuri (33181) on 2014年01月13日 17時29分 (#2526498) 日記

    cppcheckに掛けたら見つかったって事なのかな。
    古いソースコードなんて読まないから、やっぱりそうなるのか。

  • と思って検索したらBitmapfontだった.
    ディスクの中を検索したら,tex用に一応存在した.

    どっかに書いてあったけど,誰もメンテしないようなコードはさっさと削ってしまうのが良いという事ですね.

    • 日常生活の X11 で bdf 形式を常用することは基本的になく、bdftopcf で pcf に変換して使うものです。そういう話ではない?

      実際 bdf はテキストファイルなので、ソースコードみたいなものですね。
      X11R4 の頃は pcf でなく snf というのになっていて、アーキテクチャが違うマシンに持って行くと..

      さっき bdf2pcf かと記憶違いで見つからなかったのは秘密

      親コメント
  • by Anonymous Coward on 2014年01月13日 15時15分 (#2526443)

    X1のバグと空目してしまったんですがこの何とも言えないもやもや感はどこに持っていけば良いんでしょうか?

    • by Anonymous Coward on 2014年01月13日 17時26分 (#2526494)

      1991年から稼働していた、我が家の冷蔵庫の脆弱性が先週発見され、
      冷却機構が停止し、貯蔵品に深刻なダメージが生じました。

      しょうが無いので全貯蔵物を廃棄すると共に、新形へのリプレースを本日決行しました。
      #普通に寿命ですね。むしろ今までよく動いた。

      親コメント
    • by Anonymous Coward

      まだ間に合います。こちらに応募するのはいかがでしょうか。
      http://www.conoha.jp/conoha/1097.html [conoha.jp]

  • by Anonymous Coward on 2014年01月13日 14時45分 (#2526431)

    マルチバイト系の処理とか、ほとんど誰もチェックしてなくて、バグがたまってそうな気がする。

    • by Anonymous Coward on 2014年01月13日 14時54分 (#2526435)

      X11のプログラムを最後に作ってから15年くらい経ってるんで記憶があいまいですが、文字はコンパウンドストリングとかいうのに変換しないと表示できず、ちゃんとマルチバイトだとかマルチリンガルが考慮されていたような。
      まあ、だからと言って十分なチェックされてる保証は無いですが。

      Xtの方の仕組みだったかな?

      親コメント
      • by Anonymous Coward on 2014年01月13日 15時37分 (#2526450)

        私も20年近く前の知識ですが、マルチバイト系(というかマルチリンガル系)の関数セットと、バイト系の関数セットの2通りがありますね。

        個々のアプリケーションを書く個々のプログラマが、マルチリンガルのことを意識して、あえて難しいほうの書き方をしないと、
        そのプログラムはマルチバイト対応にならない(なのでマルチバイト対応アプリケーションの割合は全然高まらない)という仕組みです。
        どうやって世界中のプログラマにマルチリンガルの必要性を説いて回るんだ、と思ったものでした。

        何もないところから、その仕組みを作ってXに入れさせただけでも、ものすごい功績だとは思いますけど。

        親コメント
        • by Anonymous Coward

          ああ…Lesstifが日本語通らなくてソース修正しまくった思い出がよみがえってまいりました…。

        • で、デフォルトの文字列をUTF-8にしようとしたら日本の原理主義者が反対するというおなじみすぎる流れでもう笑うしかなかった。あいつらがいなかったらアプリケーションの(あいつらの主張によれば)なんちゃって国際化は10年くらい早まったんじゃねーの。

        • by Anonymous Coward

          Win 32のUnicode系のAPIの使用率すらなかなか高まらないんだから、いわんやISO/IEC 2022ベースのマルチバイト系APIをや

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...