O XWayland e o X.Org Server ganham novos lançamentos devido a mais três falhas de segurança. Assim, X.Org Server e o XWayland tiveram novos lançamentos pontuais como resultado da divulgação de mais três vulnerabilidades de segurança.
Outubro começou com novas vulnerabilidades de segurança do X.Org, duas das quais datavam do ano de 1988. Agora, à medida que nos aproximamos do final de outubro, mais três vulnerabilidades foram tornadas públicas.CVE-2023-5367 é uma gravação fora dos limites dentro de XIChangeDeviceProperty/RRChangeOutputProperty, onde memcpy() pode acabar gravando na memória fora da matriz alocada no heap. CVE-2023-5380 é para uso gratuito no DestroyWindow.
XWayland e X.Org Server ganham novos lançamentos devido a mais três falhas de segurança
A última vulnerabilidade afeta apenas configurações do modo “Zaphod” de vários monitores. O terceiro é CVE-2023-5574 e é outro bug de uso após liberação, desta vez dentro do DamageDestroy e também afetando configurações do modo Zaphod com vários cabeçotes.
X.Org Server 21.1.9 e XWayland 23.2.2 foram lançados com os patches X.Org para resolver esses erros fora dos limites e de uso após liberação. Esses três CVEs são resultado da Trend Micro Zero Day Initiative, onde também foram descobertas muitas outras vulnerabilidades do X.Org em anos anteriores.
Mais detalhes sobre as atualizações por meio deste Comunicado de Segurança da X.Org .