हाल ही में, X.Org फाउंडेशन ने खुलासा किया कि जून की शुरुआत में X.Org सर्वर और उसके XWayland घटक में नौ नई सुरक्षा कमजोरियां खोजी गईं, जिनमें से आठ की खोज आर्टिफिशियल इंटेलिजेंस तकनीक का उपयोग करके ट्रेंड माइक्रो के TrendAI जीरो-डे माइनिंग प्रोग्राम द्वारा की गई थी, और एक की रिपोर्ट Red Hat के वरिष्ठ X.Org इनपुट सबसिस्टम डेवलपर पीटर हटरर ने की थी। इससे पता चलता है कि भले ही एक दशक से भी अधिक समय पहले सुरक्षा शोधकर्ताओं ने X.Org सर्वर को "एक आपदा और जितना दिखता था उससे भी बदतर" के रूप में वर्णित किया था, कई साल हो गए हैं, इस पुराने ग्राफिक्स सिस्टम के साथ सुरक्षा समस्याएं अभी भी उभर रही हैं।
* फ़ॉन्ट उपनाम स्टैक-आधारित बफ़र ओवरफ़्लो
* miSyncDestroyFence() में XSYNC उपयोग-बाद-मुक्त
* XKB कुंजी प्रकार स्टैक-आधारित बफर ओवरफ्लो
* XKB सेटमैप अनुरोध स्टैक-आधारित बफर ओवरफ्लो
* फ्रीकाउंटर में XSYNC उपयोग-आफ्टर-फ्री ()
* SyncChangeCounter में XSYNC उपयोग-आफ्टर-फ्री ()
* GLX ChangeDrawableAttributes आउट-ऑफ-बाउंड पढ़ें/लिखें
* CreateSaverWindow उपयोग के बाद निःशुल्क सूचना प्रकटीकरण
* DRI2 DRIGetBuffers/DRIGetBuffersWithFormat आउट-ऑफ-बाउंड लिखें
सार्वजनिक जानकारी के अनुसार, इस बार उजागर हुई नौ कमजोरियों में विशिष्ट मेमोरी सुरक्षा खामियां शामिल हैं जैसे स्टैक बफर ओवरफ्लो, आउट-ऑफ-बाउंड रीड एंड राइट, और मल्टीपल यूज़-आफ्टर-फ्री, और इसमें फॉन्ट प्रोसेसिंग, कीबोर्ड लेआउट, सिंक्रोनाइज़ेशन एक्सटेंशन, जीएलएक्स और डीआरआई2 जैसे कई सबसिस्टम शामिल हैं। विशेष रूप से शामिल हैं: फ़ॉन्ट उपनाम स्टैक बेस बफर ओवरफ्लो, miSyncDestroyFence() में XSYNC उपयोग-बाद-मुक्त, XKB कुंजी प्रकार स्टैक बेस बफर ओवरफ्लो, XKB सेटमैप अनुरोध स्टैक बेस बफर ओवरफ्लो, FreeCounter() में XSYNC उपयोग-बाद-मुक्त, SyncChangeCounter() में XSYNC उपयोग-बाद-मुक्त, GLX ChangeDrawableAttributes आउट-ऑफ-बाउंड पढ़ता और लिखता है, CreateSaverWindow उपयोग के बाद-मुक्त जानकारी लीक, और DRI2 आउट-ऑफ-बाउंड DRIGetBuffers/DRIGetBuffersWithFormat में लिखता है। एक बार जब इन मुद्दों का दुर्भावनापूर्ण ढंग से शोषण किया जाता है, तो वे सेवा क्रैश, अनधिकृत पहुंच और यहां तक कि संवेदनशील जानकारी के रिसाव का कारण बन सकते हैं, जिससे डेस्कटॉप और सर्वर वातावरण के लिए पर्याप्त जोखिम पैदा हो सकता है जो अभी भी X.Org सर्वर का उपयोग कर रहे हैं।
उपरोक्त जोखिमों से निपटने के लिए, X.Org प्रोजेक्ट ने एक साथ संशोधित संस्करण जारी किए हैं: xorg-server 21.1.23 और xwayland 24.1.12, जो इन नवीनतम प्रकट सुरक्षा खामियों को ठीक करने के लिए उस रात ऑनलाइन होंगे। X.Org फाउंडेशन ने xorg-घोषणा मेलिंग सूची के माध्यम से अधिक विस्तृत तकनीकी विवरण और फिक्स जानकारी जारी की, संभावित हमले की सतहों को कम करने के लिए संबंधित वितरण अनुरक्षकों और अंतिम उपयोगकर्ताओं से जल्द से जल्द संस्करण अपडेट पूरा करने का आह्वान किया। जैसे-जैसे लिनक्स ग्राफिक्स स्टैक का विकास जारी है और वेलैंड की तैनाती धीरे-धीरे विस्तारित हो रही है, X.Org सर्वर अभी भी कई वितरण और एप्लिकेशन परिदृश्यों में एक महत्वपूर्ण संगतता भूमिका निभाता है, इसलिए सुरक्षा अपडेट की समयबद्धता अभी भी महत्वपूर्ण है।
यह ध्यान देने योग्य है कि यह घटना सुरक्षा अनुसंधान के क्षेत्र में एआई/बड़े मॉडलों की बढ़ती महत्वपूर्ण भूमिका पर प्रकाश डालती है: ट्रेंड माइक्रो के ट्रेंडएआई शून्य-दिवस कार्यक्रम ने नौ नई कमजोरियों में से आठ की खोज की, जो पुराने, बड़े पैमाने पर कोड बेस में स्वचालित विश्लेषण और बुद्धिमान ऑडिटिंग की प्रभावशीलता का प्रदर्शन करती है। चूँकि सुरक्षा टीमें अंतर्निहित सिस्टम घटकों के ऑडिट के लिए AI/LLM टूल को तेजी से अपना रही हैं, X.Org सर्वर और यहां तक कि लिनक्स कर्नेल जैसे बुनियादी सॉफ़्टवेयर इस गर्मी में और अधिक ऐतिहासिक मुद्दों को उजागर करना जारी रख सकते हैं। यह भी उम्मीद है कि मरम्मत प्रक्रिया के दौरान समग्र सुरक्षा आधार रेखा में धीरे-धीरे सुधार किया जाएगा।
और अधिक जानें:
https://lists.x.org/archives/xorg-announce/2026-जून/003702.html