GNU / Fundacja Wolnego Oprogramowania
Deweloperzy GNU ogłosili dzisiaj, że wydanie Emacsa 26.1 zaostrzyło lukę bezpieczeństwa w szacownym prawie 42-letnim edytorze tekstu dla systemów Unix i Linux. Chociaż dla niewtajemniczonych może wydawać się dziwne, że edytor tekstu wymagałby aktualizacji zabezpieczeń, fani Emacsa szybko zwrócą uwagę, że aplikacja robi znacznie więcej niż tylko zapewnia pusty ekran do pisania kodu.
Emacs jest w stanie zarządzać kontami e-mail, strukturami plików i kanałami RSS, przez co przynajmniej w teorii jest celem dla wandali. Luka w zabezpieczeniach była związana z trybem wzbogacania tekstu, a programiści informują, że została po raz pierwszy wprowadzona wraz z wydaniem Emacsa 21.1. W tym trybie nie udało się ocenić kodu Lisp we właściwościach wyświetlania, aby umożliwić zapisywanie tych właściwości wraz z tekstem.
Ponieważ Emacs obsługuje ocenę formularzy w ramach przetwarzania właściwości wyświetlania, wyświetlanie tego rodzaju Wzbogaconego tekstu może pozwolić edytorowi na wykonanie złośliwego kodu Lisp. Chociaż ryzyko takiego zdarzenia było niskie, programiści GNU obawiali się, że niebezpieczny kod może zostać dołączony do wzbogaconej wiadomości e-mail, która następnie zostanie wykonana na komputerze odbiorcy.
Emacs 26.1 domyślnie wyłącza wykonanie dowolnego formularza we właściwościach wyświetlania. Administratorzy systemu, którzy pilnie potrzebują tej zagrożonej funkcji, mogą ją włączyć ręcznie, jeśli rozumieją ryzyko.
Osoby ze starszymi wersjami już zainstalowanych pakietów nie muszą aktualizować, aby skorzystać z poprawki bezpieczeństwa. Zgodnie z plikiem tekstowym wiadomości emacs.git, który towarzyszy najnowszej wersji oprogramowania, użytkownicy pracujący z wersjami wstecz do 21.1 mogą dołączyć jedną linię do swojego pliku konfiguracyjnego .emacs, aby wyłączyć funkcję, która powoduje problem.
Ze względu na sposób działania schematów zabezpieczeń systemów Unix i Linux jest mało prawdopodobne, aby exploity związane z tą luką wyrządziły szkody poza katalogiem osobistym użytkownika. Jednak exploit mógł hipotetycznie zrujnować lokalnie przechowywane dokumenty i pliki konfiguracyjne, a także wysłać złośliwe wiadomości e-mail, jeśli użytkownik połączył emacsa z serwerem pocztowym.
Tagi Bezpieczeństwo w systemie Linux
