GNU lansează Emacs 26.1 și conectează Hisp Security Hole

GNU / Free Software Foundation

Dezvoltatorii GNU au anunțat astăzi că lansarea Emacs 26.1 a înăsprit o gaură de securitate în venerabilul editor de text Unix și Linux, în vârstă de aproape 42 de ani. Deși ar putea părea ciudat pentru cei neinițiați că un editor de text ar necesita actualizări de securitate, fanii Emacs vor repede să sublinieze că aplicația face mult mai mult decât să ofere un ecran gol pentru a scrie cod.

Emacs este capabil să gestioneze conturi de e-mail, structuri de fișiere și fluxuri RSS, făcându-l astfel o țintă pentru vandali cel puțin teoretic. Vulnerabilitatea de securitate a fost legată de modul Text îmbogățit, iar dezvoltatorii au raportat că a fost introdusă pentru prima dată odată cu lansarea Emacs 21.1. Acest mod nu a reușit să evalueze codul Lisp în proprietățile de afișare pentru a permite salvarea acestor proprietăți cu textul.

Deoarece Emacs acceptă evaluarea formularelor ca parte a procesării proprietăților de afișare, afișarea acestui tip de text îmbogățit ar putea permite editorului să execute cod Lisp rău intenționat. În timp ce riscul ca acest lucru să se întâmple era scăzut, dezvoltatorii GNU s-au temut că codul periculos ar putea fi atașat unui mesaj de e-mail îmbogățit care va fi apoi executat pe aparatul destinatarului.

Emacs 26.1 dezactivează în mod implicit execuția de formă arbitrară în proprietățile de afișare. Administratorii de sistem care au nevoie urgentă de această caracteristică compromisă o pot activa manual dacă înțeleg riscul.

Cei cu versiuni mai vechi ale pachetelor deja instalate nu trebuie să facă upgrade pentru a profita de soluția de securitate. Conform fișierului text de știri emacs.git care însoțește cea mai nouă versiune a software-ului, utilizatorii care lucrează cu versiuni care revin la 21.1 pot adăuga o singură linie la fișierul de configurare .emacs pentru a dezactiva caracteristica care cauzează problema.

Datorită modului în care funcționează schemele de securitate Unix și Linux, este puțin probabil ca exploatările legate de această vulnerabilitate să producă daune în afara directorului de bază al unui utilizator. Cu toate acestea, un exploit ar fi putut ruina ipotetic documentele și fișierele de configurare stocate local, precum și să fi trimis mesaje de e-mail rău intenționate dacă un utilizator ar fi conectat emacs la un server de e-mail.