ZDI-26-336: bug X.Org espone dati, abilita escalation a root

Il 9 giugno 2026 la Zero Day Initiative di TrendAI ha pubblicato l'advisory ZDI-26-336, che documenta una vulnerabilità nel server grafico X.Org sfruttabile da qualsiasi utente locale con privilegi minimi. La falla, catalogata come CVE-2026-34002 con punteggio CVSS 6.1, consente la lettura di memoria oltre i confini di una struttura dati nel sottosistema XKB: un apparente difetto limitato che diventa pericoloso perché il server X opera tipicamente con permessi elevati e la memoria leakata può alimentare catene di exploit per l'escalation completa.

Il meccanismo: quando manca un controllo sui limiti

Il difetto risiede nella gestione delle key actions del protocollo X Keyboard Extension (XKB), l'estensione del server X che gestisce la mappatura dei tasti, i modificatori e le sequenze di composizione. Secondo l'advisory ZDI, "la falla specifica esiste nella gestione delle key actions": il codice non convalida correttamente i dati forniti dal client, con conseguente lettura oltre il termine di una struttura dati allocata.

Il commit di patch pubblicato sul repository GitLab di freedesktop.org (f056ce1c) illumina il meccanismo con maggiore precisione tecnica. Il manutentore Olivier Fourdan annota che "il problema è che il ciclo in CheckModifierMap() legge dal wire senza verificare che i dati siano entro i limiti della richiesta": il valore req->totalModMapKeys può superare i dati effettivamente forniti, e il server continua a leggere memoria adiacente. Il fix introduce la macro _XkbCheckRequestBounds per abortire l'elaborazione quando i bounds vengono violati.

Resta un punto non chiarito dalle fonti: l'advisory ZDI individua la falla in CheckKeyActions(), mentre il commit di patch modifica CheckModifierMap(). Le due funzioni appartengono entrambe al sottosistema XKB e condividono pattern di validazione simili; il dossier non stabilisce se si tratti della stessa vulnerabilità con naming incoerente o di due bug correlati nella stessa area del codice.

Il vettore CVSS: locale, silenzioso, ad alta disclosure

Il punteggio CVSS 3.1 assegnato dall'advisory è 6.1, nella fascia Medium. Il vettore completo — AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L — descrive un attacco locale (AV:L) che richiede bassi privilegi (PR:L) e nessuna interazione con l'utente (UI:N), con impatto massimo sulla confidenzialità (C:H), nessun impatto sull'integrità (I:N) e impatto basso sulla disponibilità (A:L).

La combinazione è insidiosa: il requisito di accesso locale filtra gli attacchi da remoto, ma in ambienti multi-utente — server terminali, desktop condivisi, infrastrutture VDI, sistemi di build continuo — qualsiasi account con shell access diventa potenziale vettore. L'assenza di interazione utente significa che l'exploit può procedere in background, senza popup, conferme o anomalie visibili. Il calcolatore NVD conferma matematicamente la computazione del punteggio per quel vettore, sebbene non costituisca un record di vulnerabilità verificato per il CVE specifico.

"This vulnerability allows local attackers to disclose sensitive information on affected installations of X.Org Server. An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability." — Zero Day Initiative, advisory ZDI-26-336

Il rischio nascosto: chaining verso l'escalation completa

La classificazione "disclosure only" del CVSS 6.1 è tecnicamente corretta per la falla isolata, ma inganna sulla reale superficie d'attacco. L'advisory ZDI esplicita che "un attaccante può sfruttare questo [bug] in combinazione con altre vulnerabilità per eseguire codice arbitrario nel contesto di root". Il server X gira con privilegi elevati su quasi tutte le distribuzioni Linux tradizionali: leggerne la memoria significa accedere a chiavi crittografiche, credenziali di sessione, token di autenticazione o altri materiali sensibili che possono alimentare passi successivi della catena.

Questo pattern — accumulare primitive di lettura memoria fino a comporre l'escalation — è ben documentato nel codice legacy di X.Org. Il sottosistema XKB in particolare ha una storia di vulnerabilità simili: la complessità del protocollo wire, la fiducia storica nei dati client e la mancanza di hardening moderno rendono fertile terreno per bug di bounds checking. Il dossier non cita exploit pubblici o proof-of-concept per questa specifica istanza, né dettagli su tecniche di chaining documentate.

La risposta: patch upstream e advisory enterprise

La timeline di disclosure coordinata è relativamente breve: il report iniziale risale al 17 febbraio 2026, la pubblicazione pubblica al 9 giugno 2026, circa quattro mesi di gestione. Il commit di patch upstream è datato "3 months ago" rispetto alla finestra di giugno, coerente con un fix preparato prima della disclosure ma reso pubblico nel momento della coordinazione.

La risposta distributiva documentata nelle fonti si concentra su Red Hat: il CVE Record menziona multiple advisory RHSA coprenti le versioni RHEL dalla 6 alla 10. Il dossier non elenca patch o advisory per altre distribuzioni, né specifiche di versioni X.Org interessate: l'advisory ZDI non riporta numeri di versione, e il commit GitLab non indica quali release incorporino il fix.

Per gli amministratori, questo genera un problema di visibilità operativa. Non esiste un elenco authoritative di versioni vulnerabili da confrontare con il proprio parco macchine; l'identificazione passa attraverso il controllo della presenza del commit f056ce1c nella cronologia dei pacchetti, o la verifica delle release note specifiche della distribuzione in uso.

Cosa fare adesso

• Verificare se il proprio X.Org Server include il commit f056ce1c nella cronologia di build, oppure consultare le release note della distribuzione per confermare l'applicazione del fix.
• Su sistemi Red Hat Enterprise Linux, monitorare le RHSA emesse per le versioni 6-10: il CVE Record conferma la presenza di advisory attivi.
• In ambienti multi-utente o terminal server, valutare la restrizione dell'accesso locale non necessario fino alla conferma di patching, dato il basso requisito di privilegi dell'attacco.
• Indirizzare il bug nel contesto del programma di gestione del debito tecnico di X.Org: il pattern ricorrente in XKB suggerisce di auditare proattivamente funzioni simili per controlli di bounds mancanti.

Un bug apparentemente minore in un'architettura criticamente esposta

Il valore informativo di ZDI-26-336 sta proprio nella sua apparente modestia. Un CVSS 6.1 Medium, un OOB read senza RCE diretto, un attacco locale in un mondo ossessionato dai threat actor remoti: ingredienti che normalmente finirebbero in fondo alla coda di priorità. E invece il server X resta uno dei pochi componenti di sistema che ancora gira con privilegi elevati per necessità architetturale, eredità di un modello di sicurezza datato che privilegia le prestazioni e la semplicità del protocollo.

La lezione è nel chaining: il moderno exploit development non richiede più vulnerabilità "complete" isolate, ma piattaforme di primitive componibili. Una lettura memoria qui, un use-after-free lì, un race condition in un terzo punto: la somma supera l'apparente gravità dei singoli addendi. Il legacy codebase di X.Org, con i suoi trent'anni di storia e i suoi assumpti di fiducia nei dati client, offre terreno fertile a questa economia. La morte per mille tagli, nel software come altrove, non annuncia la sua arrivata con CVE critici e banner rossi.

Fonti

• http://www.zerodayinitiative.com/advisories/ZDI-26-336/
• https://www.cve.org/CVERecord?id=CVE-2026-34002
• https://www.zerodayinitiative.com/advisories/
• http://nvd.nist.gov/cvss.cfm?calculator&version=3.0&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
• https://www.x.org/
• https://gitlab.freedesktop.org/xorg/xserver/-/commit/f056ce1c