GNU / Free Software Foundation
GNU-udviklere meddelte i dag, at frigivelsen af Emacs 26.1 strammede et sikkerhedshul i den ærværdige næsten 42-årige Unix- og Linux-teksteditor. Selvom det kan virke underligt for de uindviede, at en teksteditor vil kræve sikkerhedsopdateringer, vil fans af Emacs være hurtige til at påpege, at applikationen gør meget mere end at give en tom skærm til at skrive kode.
Emacs er i stand til at administrere e-mail-konti, filstrukturer og RSS-feeds, hvilket gør det til et mål for vandaler i det mindste i teorien. Sikkerhedssårbarheden var relateret til Enrich Text-tilstand, og udviklere rapporterer, at den først blev introduceret med frigivelsen af Emacs 21.1. Denne tilstand kunne ikke evaluere Lisp-kode i displayegenskaber for at tillade lagring af disse egenskaber med teksten.
Da Emacs understøtter evaluering af formularer som en del af behandlingen af skærmegenskaberne, kan visning af denne slags beriget tekst give redaktøren mulighed for at udføre ondsindet Lisp-kode. Mens risikoen for, at dette sker, var lav, var GNU's udviklere bange for, at farlig kode kunne knyttes til en beriget e-mail-besked, som derefter ville udføres på modtagerens maskine.
Emacs 26.1 deaktiverer vilkårlig formudførelse i skærmegenskaber som standard. Systemadministratorer, der har et presserende behov for denne kompromitterede funktion, kan aktivere den manuelt, hvis de forstår risikoen.
Dem med ældre versioner af allerede installerede pakker behøver ikke opgradere for at udnytte sikkerhedsrettelsen. Ifølge emacs.git-nyhedstekstfilen, der ledsager den nyeste version af softwaren, kan brugere, der arbejder med versioner, der går tilbage til 21.1, føje en enkelt linje til deres .emacs-konfigurationsfil for at deaktivere den funktion, der forårsager problemet.
På grund af den måde, som Unix- og Linux-sikkerhedsordninger fungerer på, ville udnyttelser relateret til denne sårbarhed sandsynligvis ikke have gjort skade uden for en brugers hjemmekatalog. Imidlertid kunne en udnyttelse hypotetisk have ødelagt lokalt lagrede dokumenter og konfigurationsfiler samt sendt ondsindede e-mail-meddelelser, hvis en bruger havde emacs forbundet til en e-mail-server.
Mærker Linux-sikkerhed
