Vigil@nce - X.Org Server : obtention d’information via XkbSetGeometry
février 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut lire un fragment de la mémoire via
XkbSetGeometry sur X.Org Server, afin d’obtenir des informations
sensibles.
Produits concernés : Debian, XOrg Bundle
Gravité : 1/4
Date création : 11/02/2015
DESCRIPTION DE LA VULNÉRABILITÉ
L’extension XKB du protocole X11 propose des fonctionnalités
avancées pour gérer les claviers.
Le message XkbSetGeometry définit les propriétés physiques d’un
clavier : taille, forme, couleur des touches, doodads (trucs), etc.
Cependant, si le client indique des tailles de champ trop grandes
dans XkbSetGeometry, alors le fichier xkb/xkb.c du serveur X11
accepte de copier trop de données, et de les retourner à
l’utilisateur.
Un attaquant local peut donc lire un fragment de la mémoire via
XkbSetGeometry sur X.Org Server, afin d’obtenir des informations
sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/X-Org-Server-obtention-d-information-via-XkbSetGeometry-16168