[TLP:CLEAR] Grafický ovladač VMware v Linux kernelu obsahuje vysoce závažnou zranitelnost
Linux kernel verzemi 6.1.167, 6.6.130, 6.12.77, 6.18.17 a 6.19.7 opravuje vysoce závažnou zranitelnost. Informace o jednotlivých commitech obsahujících opravu naleznete na [1]. V rámci běžných linuxových distribucí jako je například Debian [2], Ubuntu [3] nebo Red Hat [4] a jejich stabilních vydání opravy zatím vydány nebyly, případně daný systém není zranitelností postižen.
Autentizovanému lokálnímu útočníkovi je kvůli nesprávnému zpracování chybového stavu v grafickém ovladači (vmwgfx) využívaném ve virtuálních strojích VMware umožněno přimět systém k práci s neinicializovaným ukazatelem a následně číst nebo zapisovat mimo alokovanou oblast paměti jádra [1]. Zranitelnost se týká prostředí, kde Linux běží jako host ve VMware virtualizaci (s povolenou 3D akcelerací) [4].
Zranitelnost se nachází v produktu Linux ve verzích (>=6.1 AND <6.1.167) OR (>=6.2 AND <=6.2.16) OR (>=6.6 AND <6.6.130) OR (>=6.12 AND <6.12.77) OR (>=6.18 AND <6.18.17) OR (>=6.19 AND <6.19.7).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-23317 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-457: Use of Uninitialized Variable at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 3. 2026.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 21. 4. 2026.
