Osm chyb s různou mírou dopadu na bezpečnost opravují nová vydání jak X.Org Serveru, tak jeho alternativy XWayland. Všechny vzešly ze zkoumání Trend Micro Zero Day Initiative, která tuto osmici našla v kódu sahajícím historicky (pro nejstarší zanesenou chybu) až k vydání X11R5, tedy do roku 1991.
Opravné verze jsou číslovány XWayland 24.1.6 a X.Org Server 21.1.16 a pravděpodobně už příslušné opravy doputovaly do většiny linuxových distribucí (soudě dle testing+backport repozitářů distribuce Mageia, kterou si dovoluji užívat). Řešeny jsou chyby typu přetečení zásobníku tu, přetečení zásobníku onde či zápisy mimo povolenou oblast, vše u různých funkcí X11. Více přehledy u Debianu, případně v oznámení přímo u X.Org.
- CVE-2025–26594: Use-after-free of the root cursor
- CVE-2025–26595: Buffer overflow in
XkbVModMaskText() - CVE-2025–26596: Heap overflow in
XkbWriteKeySyms() - CVE-2025–26597: Buffer overflow in
XkbChangeTypesOfKey() - CVE-2025–26598: Out-of-bounds write in
CreatePointerBarrierClient() - CVE-2025–26599: Use of uninitialized pointer in
compRedirectWindow() - CVE-2025–26600: Use-after-free in
PlayReleasedEvents() - CVE-2025–26601: Use-after-free in
SyncInitTrigger()
