Evgeni Golov wrote:
Außerdem, wenn ich das richtig verstanden habe, lässt sich das nur
ausnutzen, wenn man X über TCP laufen hat... Also mit remote Clients.
Was man idR nicht tut.
Auf Heise liest sich das so: "Rapid7 zufolge können aber auch Webseiten
die Lücke ausnutzen, indem sie beispielsweise manipulierte Webfonts
einbinden." (http://www.heise.de/newsticker/meldung/79572)
Oder im Original-Advisory bei Rapid7 (auf Heise verlinkt): "This bug can
be exploited both locally or remotely (via a remote X client or an X
client which visits a malicious web page).". Wenn ich das richtig
verstehe, heißt das: Ein Klick auf die falsche Web-Seite reicht.
Es wurden bisher 2 Workarounds diskutiert: Den open-source nv-Treiber
nehmen (ohne 3D-HardwareAcceleration), oder die Option "RenderAccel" auf
"False" setzen. Letzteres ist wohl die angenehmere Variante.
Gruß,
andreas
--
________________________________________________
Andreas Wilde
________________________________________________
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)