Aggasztó biztonsági hibák sújtják a libinput Lua plug-in rendszerét

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Komoly biztonsági problémák derültek ki a libinput Lua plug-in rendszerében

A libinput széles körben elterjedt: X.Org és Wayland alapú Linux asztali környezetek egyaránt használják a beviteli eszközök kezelésére, ezért a Lua plug-ineket érintő hibák különösen sürgetőek.

Ma este nyilvánosságra hozták a CVE-2026-35093 azonosítójú sebezhetőséget, amely sandboxból való kitörést tesz lehetővé a libinput plug-injeiben. A libinput betöltőjében lévő hiba miatt előre lefordított bytecode-ot futásidőben bármiféle ellenőrzés nélkül be lehetett tölteni. Így egy libinputhoz készült Lua plug-innel a Lua által lehetővé tett teljes mértékben, korlátozás nélkül hozzá lehetett férni a rendszerhez. A bytecode a folyamat jogosultsági szintjén fut le, korlátozás nélküli rendszerhozzáféréssel.

Szintén nyilvánosságra hozták a CVE-2026-35094 azonosítójú sebezhetőséget is, amely use-after-free hibaként érinti a libinput plug-injeit.

További részletek ezekről a libinputot érintő biztonsági problémákról a mai Lua-alapú plug-in rendszerben, amely az eszközök/események módosítására szolgál szóló anyagban.

A Lua plug-in támogatás tavaly jelent meg a libinput 1.30 verzióval, de sajnos mostanra több biztonsági probléma is napvilágra került a megvalósítással kapcsolatban.

Ezek a Lua plug-in problémák azért is különösen aggasztók, mert a libinputot széles körben használják X.Org és Wayland alapú Linux asztali környezetekben a beviteli eszközök kezelésére.

Ma este nyilvánosságra hozták a CVE-2026-35093 azonosítójú sebezhetőséget, amely sandboxból való kitörést tesz lehetővé a libinput plug-injeiben. A libinput betöltőjében lévő hiba miatt előre lefordított bytecode-ot futásidőben bármiféle ellenőrzés nélkül be lehetett tölteni. Így egy libinputhoz készült Lua plug-innel a Lua által lehetővé tett teljes mértékben, korlátozás nélkül hozzá lehetett férni a rendszerhez. A bytecode a folyamat jogosultsági szintjén fut le, korlátozás nélküli rendszerhozzáféréssel.

A CVE-2026-35094 sebezhetőséget is nyilvánosságra hozták, amely use-after-free hibaként érinti a libinput plug-injeit.

További részletek ezekről a libinputot érintő biztonsági problémákról a mai