Hardening consulting

Les failles Xorg évoquées au CCC fixées

J'avais évoqué au début de l'année dernière des talks qui m'avaient bien plu au CCC 2014. Il y avait notamment ce talk sur la sécurité de Xorg, et bien les fixes ont été intégrés et une annonce officielle a été faite.

On peut s'étonner du temps qu'il aura fallu pour intégrer cette tonne de changements. Même s'il s'agit de beaucoup de code, la plupart des fixes ne sont que des checks de cas limites. En même temps comme disait le speaker du talk: le code de Xorg a été fait en des temps où la sécurité n'était vraiment pas la priorité. A XDC 2014, j'ai eu aussi l'impression que les features orientées performances avec un retour (visuel) immédiat gagnent facilement les repos officiels, alors que de la sécurité...

Comme certaines partie de code de Xorg ont été recopiées dans d'autres projets (j'ai au moins en tête l'implémentation des QRegions dans Qt qui est une recopie des XRegions), on peut s'attendre à retrouver ces failles dans d'autre projets.