В X.Org Server исправлено более десятка уязвимостей

ИБ-эксперт из компании IOActive Илья ван Шпрундель (Ilja van Sprundel) обнаружил ряд уязвимостей в X.Org Server, связанных с тем, как база кода X-сервера обрабатывает запросы от X-клиентов. Исследователь связался с командой X.Org Server для совместного решения проблемы. По словам ван Шпрунделя, эксплуатируя эти бреши, хакер может осуществлять DoS-атаки и выполнять произвольный код. Критичность уязвимостей разная для каждой реализации X-сервера и зависит от того, работает ли он с привилегиями суперпользователя, или с ограниченными привилегиями; соединяется ли с сетевыми клиентами, или соединение осуществляется локально, а также от того, позволяет ли сервер использовать расширения затронутого протокола, особенно GLX. Эксперт впервые рассказал об уязвимостях на 30-м Всемирном конгрессе хакеров (Chaos Communication Congress), прошедшем в Гамбурге, Германия, в прошлом году. Ван Шпрундель представил лишь краткий обзор брешей и описал их в общих чертах, не вдаваясь в подробности. Уязвимыми являются все версии X.Org Server. В настоящее время для уязвимостей уже выпущены исправления.