GNU / Free Software Foundation
GNU izstrādātāji šodien paziņoja, ka Emacs 26.1 izlaišana nostiprināja drošības caurumu cienījamajā gandrīz 42 gadus vecajā Unix un Linux teksta redaktorā. Kaut arī nezinātājam var šķist dīvaini, ka teksta redaktoram būs nepieciešami drošības atjauninājumi, Emacs fani ātri norādīs, ka lietojumprogramma daudz vairāk nekā nodrošina tukšu ekrānu koda rakstīšanai.
Emacs spēj pārvaldīt e-pasta kontus, failu struktūras un RSS plūsmas, tādējādi vismaz teorētiski padarot to par vandāļu mērķi. Drošības ievainojamība bija saistīta ar bagātināšanas teksta režīmu, un izstrādātāji ziņo, ka tā pirmo reizi tika ieviesta, izlaižot Emacs 21.1. Šajā režīmā neizdevās novērtēt Lisp kodu displeja rekvizītos, lai ļautu saglabāt šos rekvizītus ar tekstu.
Tā kā Emacs atbalsta formu novērtēšanu kā daļu no displeja rekvizītu apstrādes, šāda veida bagātināta teksta parādīšana varētu ļaut redaktoram izpildīt ļaunprātīgu Lisp kodu. Lai gan šāda notikuma risks bija mazs, GNU izstrādātāji baidījās, ka bagātinātam e-pasta ziņojumam var pievienot bīstamu kodu, kas pēc tam tiks izpildīts saņēmēja mašīnā.
Emacs 26.1 displeja rekvizītos pēc noklusējuma atspējo patvaļīgu formas izpildi. Sistēmas administratori, kuriem ir aktuāla nepieciešamība pēc šīs apdraudētās funkcijas, var to iespējot manuāli, ja viņi saprot risku.
Tiem, kuriem jau ir instalētas vecākas pakotņu versijas, nav jāveic jaunināšana, lai izmantotu drošības labojuma priekšrocības. Saskaņā ar emacs.git ziņu teksta failu, kas pievienots jaunākajai programmatūras versijai, lietotāji, kuri strādā ar versijām 21.1, var pievienot vienu rindiņu savam .emacs konfigurācijas failam, lai atspējotu problēmu izraisošo funkciju.
Sakarā ar to, kā darbojas Unix un Linux drošības shēmas, ar šo ievainojamību saistītie izmantošanas gadījumi, visticamāk, nenodarīs kaitējumu ārpus lietotāja mājas direktorija. Tomēr izmantojums varēja hipotētiski sabojāt lokāli glabātos dokumentus un konfigurācijas failus, kā arī nosūtīt ļaunprātīgas e-pasta ziņas, ja lietotājam bija emacs savienojums ar e-pasta serveri.
Tagi Linux drošība
