🥇פגיעויות בשרת X.Org וב-libX11

ב-X.Org Server ו-libX11 נחשף две פגיעות:

CVE-2020-14347 - חוסר באתחול זיכרון בעת הקצאת מאגרים עבור pixmaps באמצעות הקריאה AllocatePixmap() יכול לגרום ללקוח X לדלוף זיכרון מהערימה כאשר שרת X פועל עם הרשאות גבוהות. ניתן להשתמש בדליפה זו כדי לעקוף את טכנולוגיית Address Space Randomization (ASLR). בשילוב עם נקודות תורפה אחרות, ניתן להשתמש בבעיה ליצירת ניצול להגדלת הרשאות במערכת. תיקונים עדיין זמינים כתיקונים.
פרסום מהדורה מתקנת של X.Org Server 1.20.9 צפויה בימים הקרובים.
CVE-2020-14344 הוא הצפת מספרים שלמים ביישום XIM (שיטת קלט) ב-libX11, מה שעלול להוביל לפגיעה בזיכרון בערימה בעת טיפול בהודעות בעלות מבנה מיוחד משיטת הקלט.
הבעיה תוקנה בשחרור libX11 1.6.10.

פגיעויות ב-X.Org Server ו-libX11