Gipagawas ang impormasyon mahitungod sa lima ka mga kahuyangan sa libX11 ug libXpm nga mga librarya nga gimugna sa proyekto sa X.Org. Nasulbad ang mga isyu sa libXpm 3.5.17 ug libX11 1.8.7 nga gipagawas. Tulo ka mga kahuyangan ang nahibal-an sa librarya sa libx11, nga nagtanyag mga function sa pagpatuman sa kliyente sa X11 protocol:
- CVE-2023-43785 - Usa ka buffer overflow sa libX11 code mahitabo sa diha nga pagproseso sa usa ka tubag gikan sa usa ka X server uban sa usa ka gidaghanon sa mga karakter nga dili motakdo sa usa ka kanhi gipadala XkbGetMap hangyo. Ang pagkahuyang tungod sa usa ka bug sa X11R6.1 nga naglungtad sukad 1996. Ang pagkahuyang mahimong mapahimuslan kung ang usa ka aplikasyon nga naggamit sa libx11 nagkonektar sa usa ka malisyoso nga X server o intermediate proxy nga kontrolado sa tig-atake.
- CVE-2023-43786 - Stack kakapoy tungod sa walay kinutuban nga recursion sa PutSubImage() function sa libX11, nga mahitabo sa diha nga pagproseso sa espesyal nga pormat data sa XPM format. Ang pagkahuyang naglungtad sukad sa pagpagawas sa X11R2 kaniadtong Pebrero 1988.
- CVE-2023-43787 Ang usa ka integer overflow sa XCreateImage() function sa libX11 mosangpot sa usa ka heap overflow tungod sa usa ka sayup sa pagkalkula sa gidak-on nga dili katumbas sa aktuwal nga gidak-on sa datos. Ang problema nga XCreateImage() function gitawag gikan sa XpmReadFileToPixmap() function, nga nagtugot sa pagpahimulos sa usa ka vulnerability sa pagproseso sa usa ka espesyal nga gidisenyo nga file sa XPM format. Ang pagkahuyang naglungtad usab sukad sa X11R2 (1988).
Dugang pa, duha ka mga kahuyangan ang gibutyag sa libXpm library (CVE-2023-43788 ug CVE-2023-43789), tungod sa abilidad sa pagbasa gikan sa mga lugar sa gawas sa mga utlanan sa gigahin nga memorya. Nahitabo ang mga problema kung nag-load sa usa ka komento gikan sa usa ka buffer sa memorya ug pagproseso sa usa ka XPM file nga adunay dili husto nga mapa sa kolor. Ang duha ka mga kahuyangan nagsugod sa 1998 ug nakit-an pinaagi sa paggamit sa memory error detection ug fuzzing testing tools AddressSanitizer ug libFuzzer.
Ang X.org adunay mga problema sa seguridad sa kasaysayan, sama sa napulo ka tuig na ang milabay, sa 30th Chaos Communication Congress (CCC), usa ka presentasyon sa tigdukiduki sa seguridad nga si Ilja van Sprundel nga naghalad sa katunga sa presentasyon sa mga problema sa X.Org server, ug ang laing katunga katunga sa seguridad sa X11 nga mga librarya sa kliyente. Ang taho ni Ilya, nga sa 2013 nagpaila sa 30 ka mga kahuyangan nga nakaapekto sa lainlaing mga librarya sa kliyente sa X11, ingon man ang mga sangkap sa DRI sa Mesa, naglakip sa mga emosyonal nga pahayag sama sa "GLX usa ka makalilisang nga demotivator! 80 ka linya sa puro kalisang! ug βNakakita kog 000 ka mga sayop niini sa miaging duha ka bulan, ug wala pa nako mahuman ang pagsusi niini.β
Source: opennet.ru