ВС:Бухгалтерия 6.3 Печенье с предсказаниями fortune-cookies ru п... (от Печенье с предсказаниями)
Найдена 23-летняя уязвимость в X-сервере
Как сообщает независимый исследователь безопасности Илья ван Шпрундель (Ilja van Sprundel), ему удалось обнаружить рекордно старую уязвимость в графической оболочке для Linux от X.Org, датируемую 1991 годом. Как следует из его доклада «X Security - It"s worse than it looks» – «Безопасность Иксов. Хуже, чем кажется», брешь содержится в библиотеке libXfont, используемой всеми продуктами проекта.
Более того, через неделю после доклада ван Шпрунделя организация X.Org опубликовала бюллетень безопасности CVE-2013-6462 с описанием уязвимости, которая датируется аж 1991 годом. Это новый рекорд для бюллетеней безопасности X11. Предыдущий был установлен в октябре с описанием уязвимости 1993 года.
Новый баг связан с переполнением стека при обработке шрифтов BDF библиотекой libXfont. Тестирование показало, что при наличии слишком длинной строки в файле BDF немедленно происходит падение X-сервера. Баг удалось найти с помощью инструмента статического анализа исходных кодов cppcheck.
Библиотека libXfont используется для обработки шрифтов во всех X-серверах, которые распространяются X.Org, включая сервер Xorg, часто работающий с рутовыми привилегиями. Таким образом, уязвимость могла привести к получению рутового доступа в систему непривилегированным пользователем.
Патч доступен по адресу – http://cgit.freedesktop.org/xorg/lib/libXfont/commit/?id=4d024ac10f964f6bd372ae0dd14f02772a6e5f63. Он включен в новую версию libXfont 1.4.7.
Что характерно, ван Шпрундель уже не первый раз выступает с докладом о безопасности X11, после его прошлого выступления организация X.Org выпустила большой набор патчей безопасности в мае 2013 года. Сейчас история повторяется. Похоже, что созданный 30 лет назад протокол X Window System не слишком приспособлен для современного мира.
Оставьте Ваш комментарий или мнение о новости: Найдена 23-летняя уязвимость в X-сервере Просим Вас оставлять сообщения по теме и уважать своих собеседников и авторов новостного сообщения.
.gif){kind=small}
.gif){kind=small}
