Servidor X.Org tem nova vulnerabilidade de escalonamento de privilégio local

Servidor X.Org tem nova vulnerabilidade de escalonamento de privilégio local
X.Org Foundation pode encontrar uma nova organização para se juntar

O X.Org Server continua dando problemas quando se trata de vulnerabilidades de segurança com sua base de código mais pesada. Isso ocorre porque essa base é antiga e em uma péssima manutenção. Então, não causa surpresa alguma quando os problemas aparecem. E foi exatamente isso o que ocorreu nesta semana com a descoberta do CVE-2023-0494. Este é o mais recente comunicado de segurança e outra descoberta da Trend Micro Zero Day Initiative. De acordo com pesquisadores, o Servidor X.Org tem nova vulnerabilidade de escalonamento de privilégio local.

O CVE-2023-0494 acarreta elevação de privilégio local em sistemas onde o X.Org Server tem privilégios e a execução remota de código tem suporte para sessões de encaminhamento SSH X. Felizmente, para muitos ambientes modernos do X.Org Server atualmente, o X.Org Server não é mais executado como root ou privilégios elevados, mas para sistemas mais antigos e em outras configurações selecionadas, infelizmente, continua sendo executado em uma configuração tão vulnerável.

Servidor X.Org tem nova vulnerabilidade

Servidor X.Org tem nova vulnerabilidade de escalonamento de privilégio local

A vulnerabilidade CVE-2023-0494 envolve uma condição de uso após liberação em DeepCopyPointerClasses para permitir a leitura e gravação na memória liberada via ProcXkbSetDeviceInfo() e ProcXkbGetDeviceInfo().

Mais detalhes sobre o último aviso de segurança do X.Org através da lista de discussão do xorg. A correção de segurança do X Input está disponível através deste pequeno patch. Como resultado da divulgação de segurança de agora, o X.Org Server 21.1.7 acaba de sair com esta correção. Há também um punhado de outras correções no X.Org Server 21.1.7: ou seja, apenas duas correções DIX e, em seguida, um punhado de patches Apple macOS XQuartz.

Já se passaram dez anos desde que um pesquisador de segurança comentou que a segurança da base de código X.Org Server é “pior do que parece” e continua a ser a fonte de novas vulnerabilidades de segurança para este componente ainda comumente usado para o desktop Linux.

Acesse a versão completa
Sair da versão mobile