Wayland və X.Org-a əsaslanan mühitlərdə daxiletmə cihazlarından hadisələrin eyni emal vasitələrindən istifadə etməyə imkan verən vahid daxiletmə yığınını təmin edən libinput 1.20.1 kitabxanası zəifliyi (CVE-2022-1215) aradan qaldırıb. xüsusi modifikasiya edilmiş/emulyasiya edilmiş daxiletmə qurğusunu sistemə qoşarkən kodunuzun icrasını təşkil etməyə imkan verir. Problem X.Org və Wayland-a əsaslanan mühitlərdə özünü göstərir və həm cihazları yerli olaraq birləşdirərkən, həm də Bluetooth interfeysi ilə cihazlarla manipulyasiya edərkən istifadə edilə bilər. X server kök kimi işləyirsə, zəiflik kodun yüksək imtiyazlarla icrasına imkan verir.
Problem, cihaz bağlantısı məlumatlarını jurnala çıxarmaqdan məsul olan koddakı xətt formatlama xətası ilə əlaqədardır. Xüsusilə, evdev_log_msg funksiyası, snprintf-ə zəngdən istifadə edərək, cihaz adının prefiks kimi əlavə olunduğu jurnal girişinin orijinal format sətirini dəyişdi. Daha sonra dəyişdirilmiş sətir log_msg_va funksiyasına ötürülür, o da öz növbəsində printf funksiyasından istifadə edir. Beləliklə, format xarakterli təhlilin tətbiq olunduğu printf üçün ilk arqument təsdiqlənməmiş xarici məlumatlardan ibarət idi və təcavüzkar cihazın sətir formatı simvollarını ehtiva edən adı qaytarmasına səbəb ola bilər (məsələn, "Şər %s") .
Mənbə: opennet.ru