Neuf failles de sécurité viennent d'être corrigées d'un coup sur le serveur X.Org, le vieux logiciel qui dessine les fenêtres, gère la souris et le clavier sur une grande partie des machines Linux. Et le plus marquant, c'est qui les a trouvées.Huit des neuf ont été repérées par une intelligence artificielle. Plus précisément par TrendAI, l'outil maison du programme de chasse aux bugs de l'éditeur de sécurité Trend Micro, la Zero Day Initiative, qui rémunère depuis des années la découverte de failles. La neuvième, elle, a été dénichée à l'ancienne par Peter Hutterer, un développeur de Red Hat qui travaille sur la gestion clavier et souris de X.Org depuis bien longtemps.Dans le lot, on retrouve surtout deux familles de problèmes bien connues. Des dépassements de mémoire tampon d'abord, où le programme écrit plus de données que prévu dans une case mémoire et le surplus déborde sur le code voisin. Et des "use-after-free" ensuite.Ce dernier type est vicieux : le logiciel continue d'utiliser un bout de mémoire qu'il a pourtant déjà rendu au système, ce qui permet à un attaquant de glisser son propre code à la place. Trois des neuf failles tombent dans cette catégorie, planquées dans le composant qui synchronise l'affichage.Le reste touche un peu partout : la gestion du clavier, les alias de polices, la couche graphique 3D, l'économiseur d'écran et le sous-système qui parle directement à la carte graphique, autant de morceaux qu'un programme malveillant déjà présent sur la machine pourrait détourner pour s'octroyer plus de droits que prévu ou aller lire de la mémoire qui ne le regarde pas.Les correctifs sont déjà là. X.Org a sorti du coup les versions 21.1.23 du serveur et 24.1.12 de XWayland, la passerelle qui fait tourner les vieilles applications X.Org sur les bureaux Wayland modernes. Si vous êtes sur Linux, la mise à jour s'impose.Côté historique, ça fait plus de dix ans que la sécurité de X.Org traîne une sale réputation. Un chercheur avait résumé l'affaire d'une formule restée célèbre : c'est pire que ça en a l'air. Le code est vieux, tentaculaire, et personne n'a vraiment envie de le réécrire.Ce qui change cette fois, c'est la méthode. Lâcher une IA sur une base de code aussi ancienne, c'est un peu comme passer un détecteur de métaux sur une plage que personne n'a jamais ratissée : elle remonte des objets que plus personne n'avait le courage d'aller chercher à la main. Et X.Org n'est pas un cas isolé, le noyau Linux voit lui aussi défiler les failles à bon rythme.Bref, si les IA se mettent à éplucher tout le vieux code de l'open-source, on n'a pas fini d'en voir passer cet été. Tant mieux qu'elles soient dans notre camp.Source :Phoronix