ГНУ објављује Емацс 26.1 и затвара сигурносну рупу повезану са Лисп

ГНУ / Фондација за слободни софтвер

Програмери ГНУ најавили су данас да је издање Емацс 26.1 заоштрило сигурносну рупу у часном скоро 42-годишњем Уник-у и Линук уређивачу текста. Иако би неупућенима могло изгледати чудно да ће уређивач текста захтевати безбедносна ажурирања, обожаваоци Емацс-а ће брзо нагласити да апликација чини много више од празног екрана за писање кода.

Емацс је способан да управља рачунима е-поште, структурама датотека и РСС фидовима, чинећи га тако мете за вандале, барем у теорији. Сигурносна рањивост била је повезана са начином обогаћивања текста, а програмери извештавају да је први пут представљена издањем Емацс 21.1. Овај режим није успео да процени Лисп код у својствима приказа како би омогућио чување ових својстава са текстом.

С обзиром да Емацс подржава процену образаца као део обраде својстава приказа, приказивање ове врсте Обогаћеног текста може уреднику омогућити да изврши злонамерни Лисп код. Иако је ризик да се ово догоди био мали, програмери ГНУ-а су се плашили да се опасни код може приложити обогаћеној поруци е-поште која ће се затим извршити на рачунару примаоца.

Емацс 26.1 подразумевано онемогућава произвољно извршавање образаца у својствима приказа. Администратори система који имају хитну потребу за овом угроженом функцијом могу је ручно омогућити ако схвате ризик.

Они са старијим верзијама већ инсталираних пакета не морају да се надограђују како би искористили безбедносну исправку. Према текстуалној датотеци вести емацс.гит која прати најновију верзију софтвера, корисници који раде са верзијама које се враћају на верзију 21.1 могу додати један ред својој .емацс конфигурационој датотеци да онемогуће функцију која узрокује проблем.

Због начина на који функционишу Уник и Линук безбедносне шеме, експлоатације повезане са овом рањивошћу вероватно неће нанети штету ван корисничког кућног директоријума. Међутим, екплоит би могао хипотетички уништити локално ускладиштене документе и датотеке конфигурације, као и послати злонамерне поруке е-поште ако је корисник имао емацс повезан са сервером е-поште.