GNU / Фонд свободного программного обеспечения
Разработчики GNU объявили сегодня, что выпуск Emacs 26.1 закрыл дыру в безопасности в почтенном почти 42-летнем текстовом редакторе Unix и Linux. Хотя непосвященным может показаться странным, что текстовый редактор требует обновлений безопасности, поклонники Emacs сразу заметят, что приложение делает гораздо больше, чем просто предоставляет пустой экран для написания кода.
Emacs способен управлять учетными записями электронной почты, файловыми структурами и RSS-потоками, что делает его целью для вандалов, по крайней мере теоретически. Уязвимость в системе безопасности была связана с режимом Enrich Text, и разработчики сообщают, что впервые она была представлена в выпуске Emacs 21.1. В этом режиме не удалось оценить код Lisp в свойствах отображения, чтобы разрешить сохранение этих свойств вместе с текстом.
Поскольку Emacs поддерживает оценку форм как часть обработки свойств отображения, отображение такого рода расширенного текста может позволить редактору выполнить вредоносный код Lisp. Хотя риск этого был низким, разработчики GNU опасались, что опасный код может быть прикреплен к расширенному сообщению электронной почты, которое затем будет выполнено на машине получателя.
Emacs 26.1 по умолчанию запрещает выполнение произвольной формы в свойствах отображения. Системные администраторы, остро нуждающиеся в этой скомпрометированной функции, могут включить ее вручную, если осознают риск.
Те, у кого уже установлены более старые версии пакетов, не нуждаются в обновлении, чтобы воспользоваться исправлением безопасности. Согласно текстовому файлу новостей emacs.git, который прилагается к последней версии программного обеспечения, пользователи, работающие с версиями, начиная с 21.1, могут добавить одну строку в свой файл конфигурации .emacs, чтобы отключить функцию, вызывающую проблему.
Из-за того, как работают схемы безопасности Unix и Linux, эксплойты, связанные с этой уязвимостью, вряд ли могут нанести ущерб за пределами домашнего каталога пользователя. Однако эксплойт мог гипотетически испортить локально хранящиеся документы и файлы конфигурации, а также посылать вредоносные сообщения электронной почты, если у пользователя был emacs, подключенный к почтовому серверу.
Теги Безопасность Linux
