Проект X.Org опубликовал исправления пяти уязвимостей, которые затрагивают все версии компонентов графического стека, выпущенные ранее.
Пользователям и системным администраторам рекомендуется обновить свои системы до версий xorg-server 21.1.22 и xwayland 24.1.10. Обновление устраняет пять проблем безопасности, которым присвоены идентификаторы CVE с CVE-2026-33999 по CVE-2026-34003. Все они были обнаружены Яном-Никласом Зоном (Jan-Niklas Sohn) в сотрудничестве с инициативой TrendAI Zero Day Initiative.
- CVE-2026-33999: Целочисленное переполнение в XkbSetCompatMap() — может привести к выходу за границы буфера при обработке запроса.
- CVE-2026-34000: Выход за границы чтения в CheckSetGeom() — ошибка при проверке границ в XKB позволяет читать неинициализированную память.
- CVE-2026-34001: Использование после освобождения (Use-After-Free) в XSYNC — проблема в обработчике синхронизации, которая может привести к краху или выполнению произвольного кода.
- CVE-2026-34002: Выход за границы чтения в CheckModifierMap() — неверная проверка данных в запросе клиента приводит к чтению неинициализированной памяти.
- CVE-2026-34003: Переполнение буфера в CheckKeyTypes() — некорректная проверка границ в функции может привести к чтению памяти за пределами запроса.
Некоторые дистрибутивы, например Debian, уже классифицировали эти проблемы как незначительные в контексте Xwayland, аргументируя это тем, что Xwayland не должен работать с привилегиями суперпользователя.
