Korrekturversionen von X.Org Server 21.1.5 und xwayland 22.1.6 wurden veröffentlicht, einer DDX-Komponente (Geräteabhängiges X), die den Start von X.Org Server ermöglicht, um die Ausführung von X11-Anwendungen in Wayland-basierten Umgebungen zu organisieren. Die neuen Versionen beheben sechs Schwachstellen, die möglicherweise zur Rechteausweitung auf Systemen ausgenutzt werden könnten, auf denen der
- CVE-2022-46340 – Stapelüberlauf bei der Verarbeitung von XTestSwapFakeInput-Anfragen mit Daten, die größer als 32 Byte sind und an das Feld GenericEvents übergeben werden.
- CVE-2022-46341 Bei der Verarbeitung von XIPassiveUngrab-Anforderungen, die mit großen Schlüsselcode- oder Schaltflächenwerten aufgerufen werden, kommt es zu einem Pufferzugriff außerhalb der Grenzen.
- CVE-2022-46342 – Use-after-free-Speicherzugriff durch Manipulation von XvdiSelectVideoNotify-Anfragen.
- CVE-2022-46343 – Use-after-free-Speicherzugriff durch Manipulation von ScreenSaverSetAttributes-Anfragen.
- CVE-2022-46344 Datenzugriff außerhalb der Grenzen bei der Verarbeitung von XIChangeProperty-Anfragen mit großen Parametern.
- CVE-2022-46283 – Use-After-Free-Speicherzugriff über XkbGetKbdByName-Anforderungsmanipulation.
Source: opennet.ru