Обложка: Trashbox.ru
Несмотря на то, что большая часть разработок для настольных компьютеров на базе Linux теперь сосредоточена на Wayland, поддержка X.Org по-прежнему ведется. Конечно, речь идет не о новых функциях, а о поддержании безопасности кода за счет регулярного обслуживания. Большие усилия в этом патче были отданы Xwayland, который остается ключевой частью современных дистрибутивов Linux. Даже в системах, которые в основном используют Wayland, Xwayland часто необходим для запуска приложений X11.
Исправленные уязвимости:
- CVE-2026-34001 — обращение к памяти после её освобождения (Use-after-free) в функции miSyncTriggerFence(). Уязвимость проявляется с выпуска xorg-server 1.9.0 (2010 год).
- CVE-2026-33999 — целочисленное переполнение через нижнюю границу (underflow) в функции XkbSetCompatMap(), приводящее к чтению данных из области вне буфера при обработке специально оформленных запросов. Уязвимость проявляется с выпуска X11R6.6 (2001 год).
- CVE-2026-34000 — чтение из области вне буфера в функции XkbAddGeomKeyAlias, вызванная отсутствием проверки соответствия размера переданного названия клавиши с выделенным буфером. Уязвимость проявляется с выпусков xorg-server 21.1.4 и xwayland 22.1.3 (2022 год).
- CVE-2026-34002 — чтение из области вне буфера в функции CheckModifierMap() из-за отсутствия проверки соответствия числа указанных в запросе клавиш с фактическим числом переданных параметров. Уязвимость проявляется с выпуска X11R6.6 (2001 год).
- CVE-2026-34003 — переполнение буфера в XKB-функции CheckKeyTypes(), приводящее к чтению данных из области вне буфера из-за отсутствия проверки соответствия размера буфера переданным в запросе данным. Уязвимость проявляется с выпуска X11R6.6 (2001 год).
