GNU / Free Software Foundation
GNU-utvecklare meddelade idag att lanseringen av Emacs 26.1 stramade upp ett säkerhetshål i den ärafulla nästan 42 år gamla Unix- och Linux-textredigeraren. Även om det kan verka konstigt för de oinvigda att en textredigerare skulle behöva säkerhetsuppdateringar, kommer fans av Emacs att snabbt påpeka att applikationen gör mycket mer än att tillhandahålla en tom skärm för att skriva kod.
Emacs kan hantera e-postkonton, filstrukturer och RSS-flöden, vilket gör det till ett mål för vandaler åtminstone i teorin. Säkerhetsproblemet var relaterat till Berik textläge och utvecklare rapporterar att det först introducerades med lanseringen av Emacs 21.1. Det här läget misslyckades med att utvärdera Lisp-kod i visningsegenskaper för att spara dessa egenskaper med texten.
Eftersom Emacs stöder utvärdering av formulär som en del av bearbetningen av visningsegenskaperna kan visning av denna typ av Berikad text tillåta redaktören att köra skadlig Lisp-kod. Medan risken för att detta händer var låg var GNU: s utvecklare rädda för att farlig kod skulle kunna bifogas ett berikat e-postmeddelande som sedan skulle köras på mottagarens maskin.
Emacs 26.1 inaktiverar godtycklig formkörning i visningsegenskaper som standard. Systemadministratörer som har ett stort behov av denna komprometterade funktion kan aktivera den manuellt om de förstår risken.
De med äldre versioner av de redan installerade paketen behöver inte uppgradera för att dra nytta av säkerhetsfixet. Enligt nyhetstextfilen emacs.git som medföljer den senaste versionen av programvaran kan användare som arbetar med versioner som går tillbaka till 21.1 lägga till en enda rad i deras .emacs-konfigurationsfil för att inaktivera funktionen som orsakar problemet.
På grund av hur Unix- och Linux-säkerhetsscheman fungerar, skulle exploateringar relaterade till denna sårbarhet ha varit osannolikt att skada utanför en användares hemkatalog. Ett utnyttjande kunde dock ha förstört lokalt lagrade dokument och konfigurationsfiler såväl som skickat skadliga e-postmeddelanden om en användare hade emacs anslutna till en e-postserver.
Taggar Linux-säkerhet
