تم إصلاح ثغرة حرجة في أداة إدارة الطاقة TLP لنظام لينكس بعد أن اكتشف الباحثون أنها تسمح للمهاجمين المحليين بتجاوز المصادقة وتعديل إعدادات النظام. الخلل، الذي تم تحديده في الإصدار 1.9.0 وتتبعه CVE-2025-67859، نشأ من حالة سباق في آلية Polkit. أصدر مطورو TLP الإصدار 1.9.1 في 7 يناير 2026، معالجين المشكلة بعد الكشف المنسق.
اكتشف باحثو الأمان من SUSE وopenSUSE تجاوز مصادقة خطير في إصدار TLP 1.9.0، وهي أداة شائعة لتحسين عمر بطارية أجهزة الكمبيوتر المحمولة على أنظمة لينكس. المسجلة كـ CVE-2025-67859، استغلت الثغرة موضوع Polkit المهمل «unix-process»، الذي يعتمد على معرفات العمليات للتفويض. هذه الطريقة، المعروفة بتأثرها بحالات السباق منذ CVE-2013-4288، سمحت للمستخدمين المحليين غير المميزين باستبدال عملياتهم أثناء فحوصات المصادقة، مكتسبين السيطرة على ملفات تعريف الطاقة وتسجيل الخادم دون بيانات اعتماد إدارية. نشأت المشكلة مع إدخال خادم طاقة جديد في TLP 1.9.0، يتميز بواجهة برمجة تطبيقات D-Bus لإعدادات النظام. حدد الباحثان Matthias Gerstner وFilippo Bonazzi أن المهاجمين يمكنهم استغلال ذلك لتعديل الإعدادات بشكل تعسفي في بيئات متعددة المستخدمين، مما يشكل مخاطر التلاعب بالنظام. شملت العيوب الإضافية قيماً متوقعة للبسكويت تمكن من إطلاق سراح حيازات الملفات الشخصية غير المصرح بها، واستثناءات غير معالجة من الطلبات التشويهية، وحيازات ملفات شخصية غير محدودة يمكن أن تؤدي إلى هجمات رفض الخدمة. هذه توسعت جماعياً من سطح الهجوم. في 16 ديسمبر 2025، أخطر الباحثون مطور TLP الأساسي، الذي رد بسرعة وقدم تصحيحات في غضون أربعة أيام. بعد المراجعة، تم إصدار TLP 1.9.1 في 7 يناير 2026، بتنفيذ إصلاحات رئيسية: التبديل إلى موضوع «system bus name» الآمن في Polkit، استخدام قيم بسكويت عشوائية مشفرة، تحديد حيازات الملفات الشخصية المتزامنة بـ16، وتعزيز التحقق من صحة الإدخال. يُحث مستخدمو لينكس والمشرفون على التحديث إلى الإصدار 1.9.1 أو أحدث عبر مدير الحزم في توزيعتهم. يبرز هذا الحادث الحاجة إلى أمان قوي في الأدوات التي تتعامل مع عمليات D-Bus المميزة، مع الاستجابة التعاونية السريعة كمثال على إدارة الثغرات الفعالة.
