FERRAMENTAS LINUX: Descobertas de Segurança Cruciais no Servidor X.Org: Atualize Agora!

quinta-feira, 4 de abril de 2024

Descobertas de Segurança Cruciais no Servidor X.Org: Atualize Agora!

 

Em um esforço contínuo para melhorar a segurança, o X.Org Server  tomou a decisão estratégica no ano passado de desativar por padrão os clientes com troca de bytes. 


Esta medida foi tomada devido à grande e conhecida superfície de ataque que esses clientes representavam dentro da base de código do X.Org/XWayland.

Hoje, essa decisão se mostrou acertada, pois três dos quatro novos CVEs divulgados estão diretamente relacionados ao código de troca de bytes. 

O suporte a clientes com troca de bytes era principalmente para permitir que clientes X.Org/XWayland com diferentes endianess de CPU se conectassem ao servidor X.Org. No entanto, com a diminuição da prevalência de diferentes endianess de CPU, o suporte a clientes com troca de bytes foi desativado com segurança no ano passado.

Os três CVEs divulgados hoje envolvem leitura excessiva de buffer de heap/vazamento de dados em ProcXIGetSelectedEvents, ProcXIPassiveGrabDevice, ProcAppleDRICreatePixmap, todos devido ao tratamento de troca de bytes. Além disso, uma quarta questão foi levantada em relação à liberação do usuário no ProcRenderAddGlyphs.

Para resolver esses problemas de segurança, as versões do  XWayland 23.2.5 e X.Org Server 21.1.12 foram lançadas hoje. Recomendamos que todos os usuários atualizem imediatamente para proteger seus sistemas. 

Para mais detalhes, consulte o comunicado de segurança publicado. Mantenha-se seguro e atualizado!





Fonte 

Até a próxima !!

Nenhum comentário:

Postar um comentário