오래된 코드는 새로운 위험을 숨깁니다. AI, X.Org server_5iter.com에서 9가지 보안 취약점 발견

최근 X.Org 재단은 6월 초 X.Org 서버와 해당 XWayland 구성 요소에서 9개의 새로운 보안 취약점이 발견되었다고 밝혔습니다. 이 중 8개는 인공 지능 기술을 사용하는 Trend Micro의 TrendAI 제로데이 마이닝 프로그램에서 발견되었으며, 1개는 Red Hat 수석 X.Org 입력 하위 시스템 개발자인 Peter Hutterer가 보고했습니다. 이는 보안 연구원들이 X.Org 서버를 "예상했던 것보다 더 나쁜 재앙"이라고 묘사한 지 수년이 지났음에도 불구하고 이 오래된 그래픽 시스템의 보안 문제가 여전히 나타나고 있음을 보여줍니다.

* 글꼴 별칭 스택 기반 버퍼 오버플로
* miSyncDestroyFence()의 XSYNC Use-After-Free
* XKB 키 유형 스택 기반 버퍼 오버플로
* XKB SetMap 요청 스택 기반 버퍼 오버플로
* FreeCounter()의 XSYNC Use-After-Free
* SyncChangeCounter()의 XSYNC Use-After-Free
* GLX ChangeDrawableAttributes 범위를 벗어난 읽기/쓰기
* CreateSaverWindow Use-After-Free 정보 공개
* DRI2 DRIGetBuffers/DRIGetBuffersWithFormat 범위를 벗어난 쓰기

공개된 정보에 따르면 이번에 노출된 9개 취약점은 스택 버퍼 오버플로, 범위를 벗어난 읽기 및 쓰기, 다중 사용 후 해제 등 일반적인 메모리 보안 결함을 다루며 글꼴 처리, 키보드 레이아웃, 동기화 확장, GLX, DRI2 등 여러 하위 시스템과 관련이 있습니다. 구체적으로는 글꼴 별칭 스택 베이스 버퍼 오버플로, miSyncDestroyFence()의 XSYNC use-after-free, XKB 키 유형 스택 베이스 버퍼 오버플로, XKB SetMap 요청 스택 베이스 버퍼 오버플로, FreeCounter()의 XSYNC use-after-free, SyncChangeCounter()의 XSYNC use-after-free, GLX ChangeDrawableAttributes 범위를 벗어난 읽기 및 쓰기, CreateSaverWindow use-after-free 정보 누출 및 DRI2는 DRIGetBuffers/DRIGetBuffersWithFormat에 범위를 벗어난 쓰기를 합니다. 이러한 문제가 악의적으로 악용되면 서비스 충돌, 무단 액세스, 민감한 정보 유출로 이어질 수 있으며, 여전히 X.Org Server를 사용하는 데스크톱 및 서버 환경에 상당한 위험을 초래할 수 있습니다.

위의 위험을 처리하기 위해 X.Org 프로젝트는 개정된 버전인 xorg-server 21.1.23 및 xwayland 24.1.12를 동시에 출시했습니다. 이 버전은 최근에 공개된 보안 결함을 수정하기 위해 그날 밤 온라인에 게시될 예정입니다. X.Org 재단은 xorg-announce 메일링 리스트를 통해 더 자세한 기술 설명과 수정 정보를 공개했으며, 관련 배포 관리자와 최종 사용자에게 가능한 한 빨리 버전 업데이트를 완료하여 잠재적인 공격 표면을 줄일 것을 요청했습니다. Linux 그래픽 스택이 계속 발전하고 Wayland 배포가 점진적으로 확장됨에 따라 X.Org 서버는 여전히 많은 배포 및 응용 프로그램 시나리오에서 중요한 호환성 역할을 수행하므로 적시 보안 업데이트가 여전히 중요합니다.

이번 사건은 보안 연구 분야에서 AI/대형 모델의 역할이 점점 더 중요해지고 있음을 강조한다는 점은 주목할 가치가 있습니다. Trend Micro의 TrendAI 제로데이 프로그램은 9개의 새로운 취약점 중 8개를 발견하여 오래된 대규모 코드 기반에서 자동화된 분석 및 지능형 감사의 효율성을 입증했습니다. 보안 팀이 기본 시스템 구성 요소를 감사하기 위해 AI/LLM 도구를 점점 더 많이 채택함에 따라 X.Org 서버와 같은 기본 소프트웨어와 심지어 Linux 커널도 이번 여름에 계속해서 더 많은 역사적 문제를 노출할 수 있습니다. 또한, 복구 과정에서 전반적인 보안 기준이 점진적으로 개선될 것으로 예상됩니다.

자세히 알아보기:

https://lists.x.org/archives/xorg-announce/2026-June/003702.html