Il 9 giugno 2026 l'advisory ZDI-26-333 ha reso pubblica una vulnerabilità di integer underflow in XkbSetCompatMap, funzione core dell'X.Org Server: un attaccante con codice a basso privilegio può elevare i propri diritti a root. La segnalazione era stata trasmessa a X.Org il 18 dicembre 2025. Il CVE-2026-33999 porta un punteggio di 7.8 HIGH, con vector CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.
- Integer underflow in XkbSetCompatMap: mancata validazione dei dati utente provoca sottoflusso aritmetico prima della scrittura in memoria
- Precondizione: l'attaccante deve già eseguire codice a basso privilegio sul sistema target
- ~174 giorni tra segnalazione (18 dicembre 2025) e pubblicazione coordinata (9 giugno 2026)
- Patch disponibile da X.Org; multiple advisories Red Hat RHSA emessi per versioni RHEL diverse
Il meccanismo: fatti dall'advisory
L'X.Org Server gestisce le richieste XkbSetCompatMap per configurare la mappa di compatibilità della tastiera XKB. L'advisory ZDI-26-333 riporta verbatim:
"The specific flaw exists within the handling of XkbSetCompatMap requests. The issue results from the lack of proper validation of user-supplied data, which can result in an integer underflow before writing to memory."
L'advisory aggiunge: "An attacker can leverage this vulnerability to escalate privileges and execute code in the context of root." La precondizione è esplicita: "An attacker must first obtain the ability to execute low-privileged code on the target system in order to exploit this vulnerability."
Analisi: Il sottoflusso aritmetico nella gestione della mappa di compatibilità XKB rappresenta un canale di privilege escalation nel sottosistema di input del server grafico. Il vector CVSS conferma la natura locale: AV:L, AC:L, PR:L, UI:N. Non serve interazione utente, ma è indispensabile il prerequisito di accesso locale con privilegi limitati.
La catena della disclosure: ZDI, X.Org, CVE, Red Hat
Jan-Niklas Sohn, ricercatore del TrendAI Zero Day Initiative, ha scoperto la falla. Il record CVE-2026-33999 riporta: "Red Hat would like to thank Jan-Niklas Sohn (TrendAI Zero Day Initiative) for reporting this issue."
La timeline ZDI mostra segnalazione il 18 dicembre 2025 e rilascio pubblico il 9 giugno 2026. Questo arco di ~174 giorni rappresenta una disclosure coordinata: il ricercatore cede esclusività al vendor in cambio di tempo per sviluppare e distribuire la correttiva. X.Org ha emesso l'aggiornamento; Red Hat ha propagato multiple RHSA per coprire diverse versioni RHEL.
Cautela editoriale sul CVE: Il record CVE-2026-33999 descrive: "A flaw was found in the X.Org X server. This integer underflow vulnerability, specifically in the XKB compatibility map handling, allows an attacker with local or remote X11 server access to trigger a buffer read overrun." Questa formulazione estende la superficie di attacco a "remote X11 server access", mentre l'advisory ZDI-26-333 specifica esclusivamente "local attackers" con precondizione di codice a basso privilegio. Il brief segnala questa discrepanza come elemento da monitorare: la classificazione ZDI come LPE locale è più stringente della descrizione CVE.
Il record CVE menziona anche "denial of service via integer underflow in xkb compatibility map handling" oltre a privilege escalation. Il brief classifica questa descrizione come "leggermente diversa" con rischio "media" per la coerenza tra fonti.
L'advisory ZDI conferma che "X.Org has issued an update to correct this vulnerability", ma non dettaglia commit o patch specifici. Il record CVE collega advisories Red Hat, ma non elenca versioni precise di X.Org Server affette. Il dossier non specifica se esista proof-of-concept pubblico o se la vulnerabilità sia stata osservata in exploitation attiva durante il periodo privato.
Perché X11 resta un vector critico
L'X.Org Server è l'implementazione di riferimento del protocollo X11, standard grafico di Unix e Linux. Il protocollo X11 ha circa 40 anni di storia; questo non implica che il bug stesso abbia la stessa antichità. Il server grafico corre su workstation Linux, terminal server e infrastrutture con desktop virtualizzato.
La funzione XkbSetCompatMap appartiene al sottosistema XKB (X Keyboard Extension), che gestisce l'input hardware della tastiera. Un difetto in questo strato trasforma qualsiasi compromissione iniziale — indipendentemente dal vettore — in escalation completa a root, dato che l'attaccante già dispone della precondizione di codice a basso privilegio.
Il brief non documenta la natura dei dati esposti in caso di sfruttamento, né fornisce dettagli su mitigazioni alternative o contromisure di contenimento.
Cosa fare adesso
- Applicare l'aggiornamento X.Org emesso per questa vulnerabilità
- Consultare gli advisories Red Hat RHSA correlati a CVE-2026-33999 per identificare le versioni RHEL interessate e le correttive disponibili
Il brief non specifica lo stato di patch per distribuzioni non-Red Hat. Le azioni sopra elencate si limitano agli elementi impliciti nella documentazione disponibile: patch rilasciata da X.Org e advisories Red Hat emessi.
La lezione del coordinated disclosure
"This vulnerability allows local attackers to escalate privileges on affected installations of X.Org Server." — ZDI-26-333 advisory
La disclosure coordinata di ~174 giorni illustra il trade-off tra tempo di correzione e esposizione potenziale. Il modello ha funzionato nella logica del coordinated disclosure: X.Org ha ricevuto la segnalazione, ha sviluppato la patch e ha rilasciato l'aggiornamento prima della pubblicazione dell'advisory. Il periodo privato ha lasciato il codice vulnerabile in circolazione con conoscenza limitata a ricercatore, vendor e eventuali attori con accesso alle informazioni non pubbliche.
Limiti della fonte: Questo articolo si basa principalmente sull'advisory ZDI-26-333 e sul record CVE-2026-33999. Non sono disponibili fonti primarie aggiuntive con dettagli tecnici convergenti. Le informazioni provengono da una singola fonte strutturata (ZDI) con corroborazione dal record CVE ufficiale.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-333/
- https://www.cve.org/CVERecord?id=CVE-2026-33999
- http://www.zerodayinitiative.com/advisories/published/
- http://www.zerodayinitiative.com/advisories/upcoming/
- https://www.trendmicro.com/
- https://www.trendmicro.com/en_us/business/products/one-platform.html