В X-сервере выявлена 23-х летняя уязвимость


X-serverИсследователь безопасности Илья ван Шпрундель (Ilja van Sprundel) выявил в X11 более 120 багов за несколько месяцев, на которые указал разработчикам "Иксов". Разработчики X.Org, оправившись от шока, сразу же взялись за исправления выявленных опасных уязвимостей.

Так первой закрываемой уязвимостью стала уязвимость, датируемая 1991 годом. Перед этим специалисты выявили и закрыли баг 1993 года. Эти две уязвимости поставили рекорд для бюллетеней безопасности X11.

Вернемся к новому, недавно выявленному багу, который связан с переполнением стека при обработке шрифтов BDF библиотекой libXfont. В результате многочисленных тестов удалось установить, что при наличии слишком длинной строки в файле BDF немедленно происходит падение X-сервера. Сам баг обнаружили при помощи инструмента статического анализа исходных кодов cppcheck.

Напомним, что библиотека libXfont используется для обработки шрифтов во всех X-серверах, которые распространяются X.Org, включая сервер Xorg, часто работающий с рутовыми привилегиями. Таким образом, уязвимость могла привести к получению рутового доступа в систему непривилегированным пользователем.

Патч включен в новую версию libXfont 1.4.7.

Стоит отметить, что ван Шпрундель не первый раз выявляет баги в "Иксах", а затем передает сведения специалистам X.Org, после чего компания в скором времени выпускает наборы патчей безопасности.


Обновлено (09.01.2014 10:55)