Tahun lalu Server X.Org menonaktifkan klien pertukaran byte secara default karena merupakan permukaan serangan yang besar dan dikenal dalam basis kode X.Org/XWayland. Hal ini terbukti lebih jauh lagi dengan 3 dari 4 CVE baru yang dipublikasikan hari ini menggunakan kode pertukaran byte.
Dukungan klien pertukaran byte ada di sekitar klien X.Org/XWayland dengan endianess CPU yang berbeda untuk dapat terhubung ke Server X.Org. Endianess CPU yang berbeda tidak umum saat ini dan dukungan klien pertukaran byte telah dinonaktifkan dengan aman tahun lalu tanpa banyak masalah. Tiga CVE yang dipublikasikan hari ini melibatkan tumpukan buffer over-read/kebocoran data dalam ProcXIGetSelectedEvents, ProcXIPassiveGrabDevice, ProcAppleDRICreatePixmap dan karena penanganan pertukaran byte.
Upaya logo X.Org sebelumnya diposting di forum.
Masalah keempat yang diangkat hari ini adalah bebas pengguna dalam ProcRenderAddGlyphs.
XWayland 23.2.5 dan X.Org Server 21.1.12 diterbitkan hari ini untuk memperbaiki empat masalah keamanan terbaru ini. Detail dalam nasihat keamanan hari ini.
Itulah berita seputar Server X.Org & XWayland Terkena Empat Masalah Keamanan Lagi, semoga bermanfaat. Disadur dari Phoronix.com.