Como un parche inmediato, debe ejecutar dicha aplicación en un servidor X separado en un VT diferente. Esta es la única forma en que puede garantizar que la aplicación no use la API X para espiar a otros clientes. También puede probar XSELinux pero conozco muy pocas personas en el mundo que saben cómo ejecutarlo, y generalmente limita gravemente lo que puede hacer su aplicación de destino (sin mencionar el costo de etiquetar correctamente los datos de su escritorio).
Además, aún debe evitar las inyecciones de código de proceso o la introspección, y para evitar que la aplicación altere el entorno de ejecución de sus usuarios mediante el uso de un espacio aislado (necesita montaje y, al menos, espacios de nombres de IPC). Consulte Docker y MBox . Tenga en cuenta que no discuto las vulnerabilidades contra los servidores de kernel / namespaces / X, solo las capacidades de escritorio disponibles.
A más largo plazo, estará disponible el protocolo de visualización como Wayland que garantiza el aislamiento entre clientes desde el principio. Hasta entonces debemos hacer frente a la inseguridad del escritorio de Linux.