Começando as coisas para este”Patch Tuesday”são a divulgação de duas novas vulnerabilidades do X.Org Server.
Esses problemas que afetam os acessos fora dos limites com o X.Org Server podem levar à elevação de privilégios locais em sistemas em que o X.Org Server está executando a execução de código remoto e privilegiado para sessões de encaminhamento SSH X.
CVE-2022-2319 e CVE-2022-2320 foram divulgados esta manhã e ambos lidam com a extensão de teclado Xkb do X.Org Server que não valida corretamente a entrada que pode levar a gravações de memória fora dos limites. Espero que em 2022 você não esteja confiando no seu xorg-server rodando como root.
Correções para essas vulnerabilidades do XKB foram corrigidas no X.Org Server Git e o lançamento pontual do xorg-server 21.1.4 é esperado em breve com essas correções. Ambas as vulnerabilidades foram descobertas pela Zero Day Initiative da Trend Micro.
Mais detalhes no Aviso de segurança do X.Org.
Atualização: o X.Org Server 21.1.4 já está disponível. Além dessas correções de segurança, há também um grande número de correções do XQuartz da Apple, uma correção de compilação do GCC 12 no código de renderização, uma possível correção de falha no código PRESENT e várias outras pequenas correções.