Logo et.nowadaytechnol.com

GNU Vabastab Emacs 26.1 Ja ühendab Lispiga Seotud Turvaaugu

GNU Vabastab Emacs 26.1 Ja ühendab Lispiga Seotud Turvaaugu
GNU Vabastab Emacs 26.1 Ja ühendab Lispiga Seotud Turvaaugu

Video: GNU Vabastab Emacs 26.1 Ja ühendab Lispiga Seotud Turvaaugu

Video: GNU Vabastab Emacs 26.1 Ja ühendab Lispiga Seotud Turvaaugu
Video: Переход на GNU Emacs 2023, Detsember
Anonim
GNU Emacsi logo
GNU Emacsi logo

GNU arendajad teatasid täna, et Emacs 26.1 väljaandmine tõmbas auväärse ligi 42-aastase Unixi ja Linuxi tekstiredaktori turvaava tugevamaks. Kuigi asjatundmatule võib tunduda kummaline, et tekstiredaktor nõuab turbevärskendusi, osutavad Emacsi fännid kiiresti, et rakendus teeb palju enamat kui koodi kirjutamiseks tühi ekraan.

Emacs suudab hallata e-posti kontosid, failistruktuure ja RSS-kanaleid, muutes selle vähemalt teoreetiliselt vandaalide sihtmärgiks. Turvahaavatavus oli seotud režiimi rikastamine tekstiga ja arendajad teatasid, et see võeti esmakordselt kasutusele Emacs 21.1 väljaandmisega. Selles režiimis ei õnnestunud Lisp-koodi hinnata kuvaomadustes, et võimaldada nende omaduste salvestamist koos tekstiga.

Kuna Emacs toetab vormide hindamist osana kuva omadustest, võib selline rikastatud teksti kuvamine võimaldada redaktoril käivitada pahatahtliku Lisp-koodi. Kuigi selle juhtumise oht oli väike, kartsid GNU arendajad, et rikastatud e-kirjale võib lisada ohtliku koodi, mis seejärel täidetakse saaja masinas.

Emacs 26.1 keelab vaikimisi suvalise vormi täitmise kuva atribuutides. Süsteemiadministraatorid, kellel on tungiv vajadus selle rikutud funktsiooni järele, saavad riskist aru saades selle käsitsi lubada.

Need, kellel on juba installitud pakettide vanemad versioonid, ei pea turvaparanduse eeliseid täiendama. Tarkvara uusima versiooniga kaasneva uudiste tekstifaili emacs.git andmetel saavad kasutajad, kes töötavad versioonile 21.1 tagasi, lisada probleemi põhjustava funktsiooni keelamiseks.emacsi konfiguratsioonifaili ühe rea.

Unixi ja Linuxi turvaskeemide toimimise tõttu ei oleks selle haavatavusega seotud ekspluateerimised tõenäoliselt kahjustanud väljaspool kasutaja kodukataloogi. Kui kasutajal olid aga e-posti serveriga ühendatud emacs, oleks see võinud hüpoteetiliselt rikkuda kohapeal salvestatud dokumente ja konfiguratsioonifaile ning saata pahatahtlikke e-kirju.

Soovitan: