Linuxeden开源社区
围绕 X.Org Server 代码库的 8 个新安全问题现已公开,这些问题也影响 XWayland。
Trend Micro Zero Day Initiative 再次发现了 X.Org Server 代码库中的大量安全问题…其中一些漏洞非常古老,可以追溯到 1991 年发布的 X11R5。
新发布的 X.Org Server 漏洞包括:
CVE-2025-26594:根光标
的释放后使用 CVE-2025-26595:XkbVModMaskText()
中的缓冲区溢出 CVE-2025-26596:XkbWriteKeySyms()
中的堆溢出 CVE-2025-26597:XkbChangeTypesOfKey()
中的缓冲区溢出 CVE-2025-26598:CreatePointerBarrierClient()
中的越界写入 CVE-2025-26599:在 compRedirectWindow()
中使用未初始化的指针 CVE-2025-26600:PlayReleasedEvents()
中的释放后使用。CVE-2025-26601:SyncInitTrigger() 中的释放后使用
XWayland 24.1.6 和 X.Org Server 21.1.16 已经发布,以解决这些新披露的漏洞。此邮件列表公告中的更多详细信息,其中包含有关这些现已公开的漏洞的更多详细信息。
12 年前,一位安全研究人员指出 X.Org Server 的安全性甚至“比看起来更糟糕”,而在此期间,在这个庞大、老化且很少维护的代码库中,不断发现更多的错误。
转自 Eight New Security Vulnerabilities Reported Against The X.Org Server & XWayland – Phoronix