В библиотеке libinput обнаружено несколько уязвимостей:

1. CVE-2026-35093: Выход за пределы песочницы в плагинах. Ошибка в загрузчике плагинов позволила загружать предварительно скомпилированный байт-код, который не проходит проверку во время выполнения и таким образом не ограничивается песочницей. Это создает возможность для атаки, позволяющей вредоносному плагину получить неограниченный доступ к системе, в зависимости от привилегий пользователя.

2. CVE-2026-35094: Использование после освобождения памяти, ведущие к утечке конфиденциальной информации. Плагин, вызывающий функцию Lua __gc() оставляет «висячий» указатель в имени устройства, который можно вывести в лог. В зависимости от значения в ячейке памяти это может привести к раскрытию конфиденциальной информации.

Уязвимости затрагивают все дистрибутивы с libinput версии 1.30.0 и новее. Однако использование Lua-плагинов возможно только в том случае, если композитор загружает их. В данный момент это касается GNOME 50’s mutter, KWin (git) и Niri (git).
wlroots, sway и river не подвержены атаке.

Дистрибутивы Fedora 43 и 44 используют опцию -Dautoload-plugins, которая приводит к загрузке плагинов независимо от поддержки композитора. Arch, OpenSuSE, Ubuntu, Debian и NixOS не имеют этой опции и/или используют более старые версии libinput.

Затронутые версии: libinput 1.31.0, 1.30.[0-2]
Исправленные версии: libinput 1.31.1, 1.30.3

>>> Подробности

Состоялся новый значительный релиз библиотеки управления устройствами ввода, развиваемой в рамках проекта Freedesktop Wayland, но также используемой в X.org через драйвер xf86-input-libinput.

Библиотека получает и мультиплексирует сырые события различных устройств ввода от ядра (/dev/input), и преобразует их в стандартные примитивы событий ввода для использования приложениями. Поддерживаются почти все классы устройств ввода (кроме джойстиков), включая такие нетривиальные функции как мульти-тач-жесты, сила нажатия, виброотклик, ускорение trackpoint и многое другое.

В новой версии:

• Поддержка device quirks, т.е. ручное конфигурирование аттрибутов устройств пользователем или дистрибутивом через ini-файлы в /etc/libinput или /usr/share/libinput (Документация).
• Перевод документации на движок Sphinx, её переориентация на пользователя, а не разработчика.
• Значительно улучшенная поддержка тачпадов, например фильтрация ладони на некоторых устройствах с полной поддержкой multitouch (Apple).
• Улучшена поддержка прокрутки (scrolling) двумя пальцами: теперь при продолжительной прокрутке вычисляется направление движения (горизонтальное или вертикальное), а события ортогональных направлений гасятся.
• Новый метод расcчёта ускорения при использовании trackpoint (aka красная точка thinkpad).
• Больше не используется усреднение скорости, чтобы не терять точность на качественных устройствах.
• Официальная поддержка FreeBSD.

>>> Подробности