การเริ่มต้นใช้งานสำหรับ”Patch Tuesday”นี้คือการเปิดเผยช่องโหว่ X.Org Server ใหม่ 2 ช่องโหว่
ปัญหาเหล่านี้ที่ส่งผลต่อการเข้าถึงนอกขอบเขตด้วยเซิร์ฟเวอร์ X.Org สามารถนำไปสู่การยกระดับสิทธิ์ในพื้นที่บนระบบที่เซิร์ฟเวอร์ X.Org ใช้งานแบบมีสิทธิพิเศษและเรียกใช้โค้ดจากระยะไกลสำหรับเซสชันการส่งต่อ SSH X
CVE-2022-2319 และ CVE-2022-2320 เผยแพร่สู่สาธารณะเมื่อเช้านี้ และทั้งคู่จัดการกับส่วนขยายแป้นพิมพ์ Xkb ของเซิร์ฟเวอร์ X.Org ไม่ได้ตรวจสอบความถูกต้องของอินพุตอย่างถูกต้องซึ่งอาจนำไปสู่การเขียนหน่วยความจำนอกขอบเขต. หวังว่าในปี 2022 คุณจะไม่พึ่งพาเซิร์ฟเวอร์ xorg ของคุณที่ทำงานเป็นรูท
การแก้ไขสำหรับช่องโหว่ XKB เหล่านี้ได้รับการแก้ไขแล้วใน X.Org Server Git และ xorg-server 21.1.4 ที่คาดว่าจะวางจำหน่ายในเร็วๆ นี้ด้วยการแก้ไขเหล่านี้ ช่องโหว่ทั้งสองถูกค้นพบโดย Zero Day Initiative ของ Trend Micro
รายละเอียดเพิ่มเติมใน X.Org Security Advisory.
อัปเดต: X.Org Server 21.1.4 พร้อมใช้งานแล้ว นอกจากการแก้ไขปัญหาด้านความปลอดภัยเหล่านี้แล้ว ยังมีการแก้ไข XQuartz จำนวนมากจาก Apple, การแก้ไขบิลด์ GCC 12 ในโค้ดการเรนเดอร์, การแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในรหัส PRESENT และการแก้ไขเล็กๆ น้อยๆ อื่นๆ