GNU пуска Emacs 26.1 и запушва свързаната с Lisp дупка за сигурност

Новини
Linux-Unix / GNU пуска Emacs 26.1 и запушва свързаната с Lisp дупка за сигурност 1 минута четене Лого на GNU Emacs

GNU / Фондация за свободен софтуер



Разработчиците на GNU обявиха днес, че пускането на Emacs 26.1 затегна дупка в сигурността в почтения почти 42-годишен текстов редактор на Unix и Linux. Въпреки че за непосветените може да изглежда странно, че текстовият редактор ще изисква актуализации на защитата, феновете на Emacs бързо ще отбележат, че приложението е много повече от предоставяне на празен екран за писане на код.

Emacs е способен да управлява имейл акаунти, файлови структури и RSS емисии, като по този начин го прави мишена за вандали поне на теория. Уязвимостта на сигурността е свързана с режима „Обогатяване на текст“ и разработчиците съобщават, че за първи път е въведена с пускането на Emacs 21.1. Този режим не успя да оцени Lisp кода в свойствата на дисплея, за да позволи запазването на тези свойства с текста.



Тъй като Emacs поддържа оценка на формуляри като част от обработката на свойствата на дисплея, показването на този вид обогатен текст може да позволи на редактора да изпълнява злонамерен Lisp код. Въпреки че рискът това да се случи е нисък, разработчиците на GNU се страхуват, че опасен код може да бъде прикачен към обогатено имейл съобщение, което след това ще се изпълни на машината на получателя.



Emacs 26.1 по подразбиране деактивира произволно изпълнение на формуляр в свойствата на дисплея. Системните администратори, които имат належаща нужда от тази компрометирана функция, могат да я активират ръчно, ако разбират риска.



Тези с по-стари версии на вече инсталираните пакети не трябва да надстройват, за да се възползват от корекцията на защитата. Според текстовия файл с новини emacs.git, придружаващ най-новата версия на софтуера, потребителите, работещи с версии, които се връщат към 21.1, могат да добавят един ред към своя конфигурационен файл .emacs, за да деактивират функцията, която причинява проблема.

Поради начина, по който функционират схемите за сигурност на Unix и Linux, експлоатите, свързани с тази уязвимост, е малко вероятно да нанесат щети извън домашната директория на потребителя. Експлойтът обаче би могъл да разруши хипотетично локално съхранени документи и конфигурационни файлове, както и да изпрати злонамерени имейл съобщения, ако потребителят има emacs, свързан към имейл сървър.

Етикети Сигурност на Linux