作者

Xorg 1.11 爆本地安全漏洞：快捷键绕过锁屏界面

20 一
2012

# 作者: riku / 本文采用CC BY-NC-SA 2.5协议授权，转载请注明本文链接。

昨日， Linux 桌面系统爆出了低级严重的本地安全漏洞，只要是采用 Xorg 1.11 组件的 Linux 发行版，用户可以在不需输入密码的情况下，直接利用快捷键 Ctrl + Alt + * （数字键上的 *) 就可以绕过屏幕锁定状态。

这个漏洞只影响运行了没有打补丁的 Xorg server 1.11+ 组件的系统，目前涉及的发行版有 Fedora 16, Arch Linux, Fuduntu, Debian unstable 等等。而由于 Ubuntu 目前使用的 Xorg server 版本小于 1.11 ，所以暂时没有波及到 (Ubuntu 12.04 发布时应该会采用 Xorg 1.11, 但目前还在使用 1.10.4)。

另外，你可以通过以下命令来检测你的 Xorg 版本

X -version

-- 消息及图片来源

作者：riku

Bio: 关注新网络、Web2.0、移动应用；Nexus S/Andorid，iPad，FreeBSD，Ubuntu 用户；伪设计师，好推墙运动。
链接：Blog - Twitter - Facebook - 此作者的更多文章

作者: riku
Post Time: 2012/01/20 12:38:00 下午
In: 新闻
Tags: Xorg

23 Responses to Xorg 1.11 爆本地安全漏洞：快捷键绕过锁屏界面

李二嫂的猪

Google Chrome 16.0.912.75

Google Chrome 16.0.912.75

Windows Server 2003

Windows Server 2003

一月 20th, 2012 at 3:34 下午

汗……

zebrattt

Firefox 9.0.1

Firefox 9.0.1

Windows 7 x64 Edition

Windows 7 x64 Edition

一月 21st, 2012 at 9:12 上午

没有专业测试人员开发的系统就是这样。

Firefox 9.0.1

Firefox 9.0.1

Windows XP

Windows XP

fuck* Reply:
一月 21st, 2012 at 2:42 下午

@zebrattt, 您用的系统就肯定安全喽，这可能只是个彩蛋而已

Opera 11.60

Opera 11.60

GNU/Linux

GNU/Linux

TaoKY Reply:
一月 21st, 2012 at 3:00 下午

@zebrattt,
不见得是这样。
Windows有专业测试人员维护，但Windows的漏洞并不比Linux的少，低级的漏洞也有，比如说win2k的输入法帮助文件漏洞。

Firefox 9.0.1

Firefox 9.0.1

Windows 7

Windows 7

Iceyer Reply:
一月 21st, 2012 at 8:34 下午

@zebrattt,
碰到一XX了……

Leo

Google Chrome 16.0.912.75

Google Chrome 16.0.912.75

GNU/Linux

GNU/Linux

一月 21st, 2012 at 12:54 下午

看来给X太多是危险的。还是CLI好

你那里还痛吗?

Opera 11.52

Opera 11.52

GNU/Linux x64

GNU/Linux x64

一月 21st, 2012 at 3:03 下午

这个，没什么危险吧！

forensic

Firefox 9.0.1

Firefox 9.0.1

GNU/Linux

GNU/Linux

一月 23rd, 2012 at 1:17 下午

xorg-server 2:1.7.6-2ubuntu7.10

ubuntu 10.04的，这个是猎奇？

Google Chrome 16.0.912.75

Google Chrome 16.0.912.75

GNU/Linux

GNU/Linux

一月 23rd, 2012 at 7:51 下午

X.Org X Server 1.10.4
Release Date: 2011-08-19
X Protocol Version 11, Revision 0
Build Operating System: Linux 2.6.24-29-server i686 Ubuntu

你那里还痛吗?

Google Chrome 14.0.835.163

Google Chrome 14.0.835.163

Sabayon Linux x64

Sabayon Linux x64

一月 23rd, 2012 at 10:02 下午

super hacker

philo

Firefox 9.0.1

Firefox 9.0.1 Ubuntu

Ubuntu

Ubuntu

一月 23rd, 2012 at 11:09 下午

刚才测了一下，好险
$ X -version

X.Org X Server 1.10.4
Release Date: 2011-08-19

Google Chrome 18.0.1010.0

Google Chrome 18.0.1010.0

GNU/Linux x64

GNU/Linux x64

一月 24th, 2012 at 6:30 上午

Ubuntu 11.04 和 11.10 没问题，貌似是打过补丁了，不过 Arch Linux 中招，暂时还未更新，据说已经修复了。不跑 X 就不用管了;-)

Google Chrome 18.0.1010.0

Google Chrome 18.0.1010.0

GNU/Linux x64

GNU/Linux x64

一月 24th, 2012 at 6:30 上午

Ubuntu 11.04 和 11.10 没问题，貌似是打过补丁了，不过 Arch Linux 中招，暂时还未更新，据说已经修复了。不跑 X 就不用管了;-)

Firefox 10.0

Firefox 10.0 Ubuntu

Ubuntu

Ubuntu

TaoKY Reply:
一月 24th, 2012 at 9:01 下午

@Terry,
U11.04和11.10不是1.11版本的，当然没事。

Chromium 15.0.874.106

Chromium 15.0.874.106

Ubuntu 10.10

Ubuntu 10.10

一月 24th, 2012 at 3:25 下午

话说回来，Desktop OS如果不开远程登录，并且只有一个用户使用的话，这个登录界面绕过的BUG真没啥影响。话说有几个用Desktop OS的设密码是为了防止别人偷偷进入系统的？能物理接触你的计算机，阻止不了他的，除非你分区加密

Google Chrome 14.0.835.163

Google Chrome 14.0.835.163

Sabayon Linux x64

Sabayon Linux x64

你那里还痛吗? Reply:
一月 24th, 2012 at 5:51 下午

@Jam,
+1
正解

zonyitoo

Chromium 17.0.963.26

Chromium 17.0.963.26

Ubuntu 11.10 x64

Ubuntu 11.10 x64

一月 25th, 2012 at 6:14 下午

这个BUG其实影响不大的吧...我还真没留意它

lijun

Firefox 9.0.1

Firefox 9.0.1

GNU/Linux

GNU/Linux

一月 26th, 2012 at 4:50 下午

用的arch+gnome3
X.Org X Server 1.11.3不受影响

AARONLAM

Google Chrome 16.0.912.75

Google Chrome 16.0.912.75

Windows 7

Windows 7

一月 26th, 2012 at 6:33 下午

这漏洞！？

Firefox 12.0a1

Firefox 12.0a1 Ubuntu

Ubuntu

Ubuntu

一月 29th, 2012 at 2:25 下午

无所谓，反正没几个人摸得到我的键盘

firefoxmmx

Firefox 9.0.1

Firefox 9.0.1

Windows 7

Windows 7

一月 30th, 2012 at 9:13 上午

我有个疑问就是这个BUG是怎么测出来的。？？？

eua

Opera 11.50

Opera 11.50

GNU/Linux

GNU/Linux

二月 1st, 2012 at 6:46 下午

彩蛋

Fantasy

Firefox 9.0.1

Firefox 9.0.1 Ubuntu

Ubuntu

Ubuntu

二月 1st, 2012 at 7:15 下午

只是绕过锁定状态吗？对于我们好像没什么太大的关系吧？

Comment Form