Опасная уязвимость в X.Org, присутствующая с 1991 года

08.01.2014 09:39

В библиотеке libXfont, входящей в состав X.Org и используемой в X-сервере, обнаружена опасная уязвимость (CVE-2013-6462), позволяющая организовать выполнение кода при обработке специально оформленного файла со шрифтом в формате BDF. Проблема была выявлена при проверке кода X.Org в статическом анализаторе cppcheck и связана с возможностью выхода за пределы выделенного буфера при наличии в BDF строк большого размера.

Проблему усугубляет то, что библиотека libXfont используется во всех вариантах X-серверов, в том числе том, что выполняется с правами пользователя root, что позволяет использовать данную уязвимость для повышения локальным пользователем своих привилегий в системе. Примечательно, что уязвимость появилась в кодовой базе ещё в мае 1991 года. Проблема исправлена в опубликованном сегодня выпуске libXfont 1.4.7.