Проектът X.Org влиза в новия месец с поредна серия уязвимости в кода, засягащи както X.Org Server, така и XWayland. Повече от десетилетие след първите сериозни предупреждения, че сигурността на X.Org е „по-лоша, отколкото изглежда“, тенденцията продължава да се потвърждава.
Голямата част от новите проблеми са открити чрез TrendAI Zero Day Initiative на Trend Micro, което подчертава колко агресивно AI инструментите навлизат в областта на сигурността. Осем от деветте уязвимости са резултат от автоматизирания анализ, а деветата е идентифицирана от дългогодишния разработчик на входни подсистеми в X.Org Петер Хутерер от Red Hat.
Новите уязвимости засягат различни подсистеми като обработката на шрифтове и XKB картите, GLX, DRI2 и пр. Макар списъкът да е дълъг, проблемите могат да бъдат групирани в три основни категории: препълване на буфер, use-after-free сценарии и грешки при работа с графични буфери. Това включва уязвимости в XSYNC функциите, GLX операциите по атрибутите на прозорците, както и проблеми в DRI2, които могат да доведат до некоректни записи извън позволените граници.
Тези слабости не са просто теоретични, те засягат ключови части от архитектурата на X.Org, които се използват ежедневно в множество Linux дистрибуции. Комбинацията от остарял код и нови автоматизирани инструменти за анализ води до ускорено откриване на проблеми, които дълго време са оставали скрити.
За да адресират откритите уязвимости, разработчиците пуснаха xorg-server 21.1.23 и xwayland 24.1.12. И двете версии включват необходимите корекции и вече са достъпни за интеграция в дистрибуциите. Публикуваните детайли дават по-задълбочена техническа информация за всяка от слабостите.
С оглед на темпото, с което AI инструментите откриват проблеми в X.Org и паралелно в Linux ядрото, предстоящото лято вероятно ще донесе още подобни разкрития. Това поставя под въпрос дългосрочната поддръжка на X.Org Server, който все по-трудно устоява на модерните изисквания за сигурност.
