Эксплуатация бреши позволяет осуществлять DoS-атаки и выполнять произвольный код.
ИБ-эксперт из компании IOActive Илья ван Шпрундель (Ilja van Sprundel) обнаружил ряд уязвимостей в X.Org Server, связанных с тем, как база кода X-сервера обрабатывает запросы от X-клиентов. Исследователь связался с командой X.Org Server для совместного решения проблемы.
По словам ван Шпрунделя, эксплуатируя эти бреши, злоумышленник может осуществлять DoS-атаки и выполнять произвольный код. Критичность уязвимостей разная для каждой реализации X-сервера и зависит от того, работает ли он с привилегиями суперпользователя, или с ограниченными привилегиями; соединяется ли с сетевыми клиентами, или соединение осуществляется локально, а также от того, позволяет ли сервер использовать расширения затронутого протокола, особенно GLX.
Эксперт впервые рассказал об уязвимостях на 30-м Всемирном конгрессе хакеров (Chaos Communication Congress), прошедшем в Гамбурге, Германия, в прошлом году. Ван Шпрундель представил лишь краткий обзор брешей и описал их в общих чертах, не вдаваясь в подробности.
Уязвимыми являются все версии X.Org Server. В настоящее время для уязвимостей уже выпущены исправления.