Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

X.Org è ancora attivo e ha appena corretto 9 gravi vulnerabilità di sicurezza

di ·

X.Org è ancora attivo e ha appena corretto 9 gravi vulnerabilità di sicurezza

Il progetto X.Org, nonostante la sua età e i recenti problemi che lo davano ormai per finito, continua a ricevere aggiornamenti critici per garantire la sicurezza dei sistemi che ancora si basano sul server X Window System.

Il 2 giugno 2026, lo sviluppatore Peter Hutterer ha annunciato il rilascio delle versioni 21.1.23 del server X.Org e 24.1.12 di Xwayland, che risolvono 9 gravi vulnerabilità di sicurezza. Queste correzioni interessano sia il server X.Org che Xwayland, il componente che permette l’esecuzione di applicazioni basate su X11 all’interno di ambienti Wayland.

Le vulnerabilità scoperte e corrette includono overflow del buffer basato sullo stack, errori di tipo use-after-free, letture e scritture fuori dai limiti di memoria e vulnerabilità di divulgazione di informazioni. Queste tipologie di bug, se sfruttate, possono portare a crash del server, divulgazione di dati sensibili o, nei casi più gravi, escalation dei privilegi se il server X viene eseguito con i diritti di root.

Dettagli sulle vulnerabilità corrette

Tra le 9 vulnerabilità, alcune meritano particolare attenzione per la loro gravità e il potenziale impatto sui sistemi. Il server X.Org e Xwayland sono componenti fondamentali per molte distribuzioni GNU/Linux, specialmente per coloro che utilizzano ancora il protocollo X11 invece di Wayland.

Una delle vulnerabilità più critiche riguarda GLX, l’estensione che consente l’integrazione di OpenGL con il server X. Un errore di validazione delle dimensioni in __glXDisp_ChangeDrawableAttributes() può consentire a un client malintenzionato di leggere o scrivere un numero controllato di byte, superando i limiti del buffer di richiesta. Questo può portare a divulgazione di informazioni se sfruttato in lettura, oppure a crash del server o escalation dei privilegi se sfruttato in scrittura, specialmente se il server X viene eseguito come root.

Un altro problema grave riguarda XSYNC, l’estensione di sincronizzazione per X11. Sono stati corretti 3 errori use-after-free in miSyncDestroyFence(), FreeCounter() e SyncChangeCounter(). Questi bug possono causare comportamenti imprevedibili e, in alcuni casi, consentire l’esecuzione di codice arbitrario.

Anche il sistema XKB, responsabile della gestione della tastiera, è stato interessato da 2 vulnerabilità di overflow del buffer basato sullo stack. Una di queste è legata alla gestione dei tipi di tastiera e rappresenta una correzione incompleta per la CVE-2025-26597. L’altra riguarda la richiesta SetMap di XKB, dove un client può scrivere fuori dai limiti di un buffer di dimensione fissa tramite un indice di tipo di tastiera controllato.

Un altro problema corretto è un overflow del buffer basato sullo stack legato agli alias dei font. Questo bug nasce da una mismatch (differenza) tra la lunghezza massima del nome del font gestita dal server X e quella permessa dalla libreria libXfont2. Mentre il server X alloca un buffer di 256 byte, la libreria libXfont2 consente nomi di alias fino a 1024 byte, il che può causare un overflow se il nome dell’alias supera i 256 byte.

Infine, è stato corretto un use-after-free in CreateSaverWindow, che può esporre informazioni dopo che un client modifica gli attributi della finestra e attiva il salvaschermo. Un altro bug riguarda DRI2, dove alcune richieste DRIGetBuffers o DRIGetBuffersWithFormat possono innescare una scrittura fuori dai limiti nella memoria heap.

Cosa sono X.Org, X11 e Xwayland?

Per chi non fosse familiare con questi termini, è utile fare un breve riassunto. X.Org è il progetto che ha sviluppato e mantenuto per anni il server X Window System, il sistema grafico storicamente utilizzato dalle distribuzioni GNU/Linux. X11 è il protocollo alla base di questo sistema, che consente la comunicazione tra il server grafico e le applicazioni client.

Wayland, invece, è un protocollo moderno che sta progressivamente sostituendo X11 in molte distribuzioni GNU/Linux. Xwayland è un componente che permette alle applicazioni scritte per X11 di funzionare in ambienti Wayland, garantendo la compatibilità all’indietro.

Perché queste correzioni sono importanti?

Nonostante Wayland stia diventando lo standard per molte distribuzioni GNU/Linux, X11 e il server X.Org sono ancora ampiamente utilizzati. Molte applicazioni, specialmente quelle più datate, dipendono ancora da X11, e alcune distribuzioni GNU/Linux continuano a offrire supporto per questo protocollo.

Le vulnerabilità scoperte dimostrano che, anche se X11 è un sistema maturo, la sua complessità lo rende ancora soggetto a bug di sicurezza. Gli aggiornamenti rilasciati da X.Org sono quindi fondamentali per proteggere i sistemi che utilizzano ancora questo server grafico.

Cosa fare per proteggere il proprio sistema?

Gli utenti e gli amministratori di sistema devono aggiornare immediatamente i pacchetti xorg-server e xwayland alle versioni 21.1.23 e 24.1.12, rispettivamente. La maggior parte delle distribuzioni GNU/Linux fornirà questi aggiornamenti tramite i propri repository software ufficiali. È consigliabile verificare che il proprio sistema abbia ricevuto gli aggiornamenti e, se necessario, applicarli manualmente.

Per chi utilizza distribuzioni GNU/Linux che non hanno ancora rilasciato gli aggiornamenti, è possibile compilare manualmente le nuove versioni dai sorgenti ufficiali di X.Org. Tuttavia, questa opzione è consigliata solo per utenti esperti.

Conclusione

Il fatto che X.Org continui a ricevere aggiornamenti di sicurezza dimostra che, nonostante l’ascesa di Wayland, il server X Window System è ancora un componente vitale per molte distribuzioni GNU/Linux. Le 9 vulnerabilità corrette in queste versioni sottolineano l’importanza di mantenere aggiornati i propri sistemi, anche quando si utilizzano tecnologie più datate.

Per gli utenti che si chiedono se X11 sia ancora sicuro, la risposta è sì, a patto che vengano applicati gli aggiornamenti di sicurezza. Tuttavia, la transizione verso Wayland rimane una scelta saggia per chi cerca un sistema grafico più moderno e sicuro.

Fonte: https://seclists.org/oss-sec/2026/q2/775
Fonte: https://www.phoronix.com/news/X.Org-9-Vulnerabilities-AI
Fonte: https://linuxiac.com/x-org-is-still-alive-and-just-patched-nine-security-flaws/

Visited 1 times, 1 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.

Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.