Новият доклад за сигурност около libinput поставя под прожекторите критичен пропуск, който засяга почти всички съвременни Linux среди, както X.Org, така и Wayland. Уязвимостта позволява изпълнение на произволен код с root права и вече е адресирана в спешна корекция.
Libinput поддържа огромната част от входните устройства при Linux, а проблемът е открит от Csome и публично обявен от поддръжника на проекта Питър Хутерер. Уязвимостта произтича от начина, по който помощната програма libinput-device-group обработва PHYS атрибута на uinput/uhid устройства. Ако злонамерено устройство подаде стойност, съдържаща символ за нов ред, udev може да интерпретира данните като два отделни ключови параметъра и по този начин да бъде подведен към изпълнение на нежелан код с най-високи привилегии.
Макар че създаването на подобно устройство обичайно изисква root достъп, ситуацията се усложнява от потребителски udev правила. Пакети като steam-devices в Fedora разширяват достъпа до uinput устройства и така отварят вратата за атака дори от обикновени потребители. Самото наличие на този пакет е достатъчно, за да се активира рисковият сценарий.
Корекцията вече е налична в libinput 1.31.2 и се препоръчва незабавно обновяване, особено на системи, където са инсталирани допълнителни udev правила или се използват гейминг периферии, разчитащи на uinput.
