Выявленные уязвимости:
- CVE-2025-49176 - целочисленное переполнение, приводящее к повреждению памяти, в реализации расширения Big Requests, позволяющего отправлять запросы, превышающие 64 килобайт.
Уязвимость проявляется с выпуска X11R6.0 (1994 год). - CVE-2025-49179 - целочисленное переполнение, приводящее к повреждению памяти, в реализации расширения X Record, возникающее при отправке слишком больших значений числа клиентов или диапазонов. Уязвимость проявляется с выпуска X11R6.1 (1996 год).
- CVE-2025-49180 - целочисленное переполнение, приводящее к повреждению памяти, в реализации расширения RandR. Уязвимость проявляется с выпуска 1.13 RC1 (2012 год).
- CVE-2025-49178 - возможность создания ситуации, приводящей к блокированию запросов других клиентов. Уязвимость проявляется с выпуска Xorg 1.10.0
- CVE-2025-49175 - чтение из памяти вне границы буфера в расширении X Rendering, возникающее при выполнении операций с анимированными курсорами. Уязвимость проявляется с выпуска XFree86 4.3.0 (2003 год).
- CVE-2025-49177 - утечка данных в реализации расширения XFIXES, вызванная отсутствием проверки размера запроса клиента в обработчике XFixesSetClientDisconnectMode (клиент может отправить более короткий запрос и прочитать данные предыдущего запроса. Уязвимость проявляется с выпуска Xorg Server 21.1 RC1 (2021 год).
Дополнение: По горячим следам сформированы выпуски X.Org Server 21.1.18 и xwayland 24.1.8, в которые включены дополнительные изменения для исправления уязвимости CVE-2025-49176.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63423
(opennet.ru, мини-новости)