В серверах X.Org обнаружили уязвимость 20-летней давности
09.01.2014
Брешь содержится в библиотеке libXfont и позволяет удаленно получить привилегированный доступ к системе.
Как сообщает независимый исследователь безопасности Илья ван Шпрундель (Ilja van Sprundel), ему удалось обнаружить рекордно старую уязвимость в серверах разработчиков X.Org, датируемую 1991 годом. Как следует из его доклада "X Security - It-s worse than it looks", брешь содержится в библиотеке libXfont, используемой всеми серверами проекта.
По данным Шпрунделя, соответствующая ошибка связана с переполнением стека при обработке шрифтов BDF, в том числе при наличии слишком длинной строки в файле BDF. При этом, если уязвимый сервер работает с повышенными привилегиями, потенциальные злоумышленники могут получить административный доступ к системе.
В настоящий момент брешь уже была устранена разработчиками X.Org. Исправление включено в новую версию библиотеки libXfont 1.4.7.
Отметим, что в общей сложности в рамках исследования Шпрунделю удалось обнаружить порядка 120 уязвимостей, большинство из которых выявлены при помощи аналитического инструмента исходных кодов cppcheck. По данным представителей X.Org, многие представленные бреши действительно представляют собой серьезную угрозу безопасности.
Видеозапись отчета "X Security - It-s worse than it looks" доступна здесь
