X.Org 项目披露了两个安全漏洞,其中之一的 CVE-2024-9632 是一个本地提权漏洞,在代码库中已存在 18 年之久。CVE-2024-9632 是于 2006 年在 X.Org Server 1.1.1 版本中引入的,影响 X.Org Server 和 XWayland。通过向 X.Org Server 提供一个修改的位图,可能会诱发堆缓冲溢出提权。问题存在于 _XkbSetCompatMap() 中,源于未能正确更新堆大小,如果 X.Org Server 以 root 运行或通过 SSH 用 X11 进行远程代码执行,可能导致本地提权。
https://lists.x.org/archives/xorg-announce/2024-October/003545.html。