X.Org-projektet har publicerat korrigeringar för fem sårbarheter som påverkar alla tidigare utgivna versioner av grafikstackkomponenter.
Användare och systemadministratörer rekommenderas att uppdatera sina system till xorg-server 21.1.22 och xwayland 24.1.10. Uppdateringen åtgärdar fem säkerhetsproblem, tilldelade CVE-identifierarna CVE-2026-33999 till CVE-2026-34003. Alla upptäcktes av Jan-Niklas Sohn i samarbete med TrendAI Zero Day Initiative.
- CVE-2026-33999Heltalsöversvämning i XkbSetCompatMap() - kan resultera i ett buffertöversvämning vid bearbetning av en begäran.
- CVE-2026-34000Läst utanför gränserna i CheckSetGeom() - Gränskontrollfel i XKB tillåter läsning av oinitialiserat minne.
- CVE-2026-34001Ett Use-After-Free-problem finns i XSYNC:s synkroniseringshanterare som kan leda till en krasch eller exekvering av godtycklig kod.
- CVE-2026-34002: Out of boundaries read in CheckModifierMap() - Felaktig validering av data i en klientbegäran resulterar i läsning av oinitialiserat minne.
- CVE-2026-34003Buffertöverflöde i CheckKeyTypes() - Felaktig gränskontroll i funktionen kan leda till en läsning efter slutet av begäran.
Vissa distributioner, som Debian, har redan klassificerat dessa problem som mindre i samband med Xwayland och hävdar att Xwayland inte bör köras med root-behörigheter.
Källa: linux.org.ru
