Alerta de segurança do X.Org: múltiplas vulnerabilidades de segurança no servidor X.Org X e no Xwayland

 (lists.x.org)
1 pontos por GN⁺ 2025-11-04 | 1 comentários | Compartilhar no WhatsApp
  • O projeto X.Org anunciou uma atualização que corrige várias vulnerabilidades de segurança encontradas em versões anteriores ao xorg-server 21.1.18 e ao Xwayland 24.1.8
  • A primeira vulnerabilidade (CVE-2025-62229) é um problema de use-after-free no processo de criação da estrutura XPresentNotify, com risco de um ponteiro ser reutilizado após ser liberado durante o tratamento de erro
  • A segunda vulnerabilidade (CVE-2025-62230) é um problema de use-after-free no processo de remoção de recursos de cliente do Xkb, em que a função de exclusão de recursos referencia dados já liberados ao encerrar o cliente
  • A terceira vulnerabilidade (CVE-2025-62231) é um problema de overflow de valor na função XkbSetCompatMap(), em que a soma dos dados de entrada pode ultrapassar o intervalo de unsigned short
  • Todas as vulnerabilidades foram corrigidas no xorg-server 21.1.19 e no Xwayland 24.1.9, e o X.Org agradeceu aos relatores e contribuidores das correções

Visão geral do alerta de segurança do X.Org

  • Em 28 de outubro de 2025, o X.Org publicou um alerta sobre múltiplos problemas de segurança encontrados na implementação do servidor X e do Xwayland
  • Esses problemas foram corrigidos nas versões xorg-server 21.1.19 e xwayland 24.1.9
  • As vulnerabilidades foram descobertas por Jan-Niklas Sohn, em colaboração com a Trend Micro Zero Day Initiative

CVE-2025-62229 — use-after-free na estrutura XPresentNotify

  • Ao usar a extensão X11 Present, se ocorrer um erro durante o processo de adicionar uma notificação após exibir um pixmap, pode permanecer um dangling pointer
    • Isso pode causar um use-after-free mais tarde ao destruir a estrutura de notificação
  • Esse problema foi introduzido no Xorg 1.15 e corrigido no xorg-server 21.1.19 e no xwayland 24.1.9
  • Commit de correção: 5a4286b1

CVE-2025-62230 — use-after-free ao remover recursos de cliente do Xkb

  • Ao remover os recursos Xkb do cliente, a função XkbRemoveResourceClient() apenas libera os dados XkbInterest conectados ao dispositivo, mas não libera os recursos relacionados
    • Como resultado, ao encerrar o cliente, a função de exclusão de recursos referencia dados já liberados, causando use-after-free
  • Esse problema foi introduzido no X11R6 e corrigido no xorg-server 21.1.19 e no xwayland 24.1.9
  • Commits de correção: 99790a2c, 10c94238

CVE-2025-62231 — overflow de valor em XkbSetCompatMap()

  • A estrutura XkbCompatMap armazena alguns valores como unsigned short, mas não verifica se a soma dos dados de entrada pode exceder esse intervalo
    • Isso pode causar overflow de valor
  • Esse problema foi introduzido no X11R6 e corrigido no xorg-server 21.1.19 e no xwayland 24.1.9
  • Commit de correção: 475d9f49

Agradecimentos e distribuição

  • O X.Org agradeceu a todos os contribuidores que relataram o problema e participaram da correção
  • O alerta inclui assinatura OpenPGP e arquivo de chave pública anexados
  • Mais informações podem ser consultadas na lista de e-mails xorg-announce

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-04
Opiniões do Hacker News

  • Fico curioso sobre como essas mudanças funcionam em algo baseado em X11Libre/xserver
    Pelo que entendo, eles estão corrigindo os problemas de segurança que surgiram no X.Org
    Mas, como o XLibre diz ter corrigido milhares de problemas que não foram resolvidos do lado do X.Org, é interessante saber se isso já estava mitigado

    • Olhando o GitHub deles, as mesmas três mudanças do X.Org foram aplicadas em 28 de outubro, ou seja, no dia em que o aviso foi publicado
      Não era algo já corrigido; foi patchado logo após a divulgação
    • O XLibre parece um projeto bem ativo, considerando a quantidade de trabalho feita em 5 meses
    • Acho que o projeto é uma tentativa fantasiosa e pouco realista
      Se o X.Org parar de vez, não parece que eles teriam capacidade para manter o X11
    • Não é aquele projeto que foi forkado com discurso “anti-woke”?
      Sinceramente, parecia mais uma pessoa usando um fork do servidor X para expressar frustrações pessoais

  • É bom encontrar e corrigir essas vulnerabilidades, mas permitir que clientes não confiáveis se comuniquem com o servidor X é algo arriscado por definição
    Especialmente se houver apps em Tcl/Tk, porque dá até para enviar comandos de programa diretamente pelo servidor X

    • Em ambientes em que o servidor X roda com privilégios mais altos ou em outro host, isso pode virar uma vulnerabilidade de escalonamento de privilégios
      O X11 quase não tem mecanismos de segurança para sessões de usuário, então é melhor evitar executar programas de UI pouco confiáveis
      Não haver como impedir injeção de teclas ou captura de tela é uma limitação de design, mas não se deve subestimar esse tipo de ataque
    • Ainda existem desenvolvedores lendários corrigindo bugs do xorg
      Há muito tempo, Alan Coopersmith corrigiu pessoalmente um bug que eu reportei
      Se bem me lembro, era algo como uma flag faltando em um programa em C
    • Em 1996, o nível de integração do Tk com o X era impressionante
      Na época, dava para controlar o Netscape com um MIT magic cookie, o que hoje parece bem assustador
    • O comando send do Tk é perigoso, mas dá para bloquear facilmente reassociando-o como no-op

  • O Coverity é muito bom em encontrar esse tipo de bug
    Então fico me perguntando por que um projeto importante como o X.Org não aproveita o acesso gratuito a essa ferramenta

    • O motivo é simples. As pessoas que desenvolvem o Wayland eram originalmente desenvolvedores do X.Org
      Agora elas estão focadas em criar novas motivações para a transição e não querem gastar energia mantendo um projeto antigo

  • A maior dor do Linux é gráficos. Uma pena mesmo

    • Acho que foi por causa dos gráficos que o Linux passou de 1% de participação no mercado desktop
      Quando o problema é hardware, realmente complica, mas na maioria dos ambientes os jogos da Steam rodam quase em nível nativo
      O problema não é o Linux, é o hardware
    • O Xorg certamente é complexo e difícil de lidar
      Mas isso não é exclusivo do Linux; hoje ele parece mais uma tecnologia legada
    • Nossa dor é gráficos... e áudio... suporte a Wi‑Fi...
      No fim, as três dores do Linux são gráficos, áudio e suporte de hardware Wi‑Fi
      E ainda dá para incluir uma obsessão quase religiosa com linha de comando

  • Espero que não matem o Xorg :(

  • Fico pensando se o Fil-C poderia ter evitado o primeiro ou o terceiro problema

    • Pelo que vejo, todos poderiam ter sido evitados

  • Fico curioso sobre como o Twitter conseguiu ficar com X.com
    Será que, ao contrário, um projeto open source poderia ficar com Twitter.org?

    • No fim dos anos 90, a X.com se fundiu com o PayPal, e Elon Musk ficou com o domínio

  • Em termos gerais, o X11 agora existe basicamente para jogos antigos ou para o cliente da Steam
    Especialmente porque o cliente da Steam ainda é um executável 32 bits, o que piora a situação

  • Vendo o Weston rodar bem no Fil-C com renderização por software, imagino que o servidor X também rodaria bem no Fil-C
    O Fil-C tem o menor overhead em código centrado em operações de bits e o maior em código centrado em rastreamento de ponteiros
    Acho que o servidor X está mais próximo do primeiro caso. O Weston também estava