GNU julkaisee Emacs 26.1: n ja liittää Lispiin liittyvän suojausreiän

GNU / Free Software Foundation

GNU-kehittäjät ilmoittivat tänään, että Emacs 26.1: n julkaisu kiristi tietoturva-aukon kunnianarvoisassa lähes 42 vuotta vanhassa Unix- ja Linux-tekstieditorissa. Vaikka aloittelijalle saattaa tuntua oudolta, että tekstieditori vaatii tietoturvapäivityksiä, Emacsin fanit huomauttavat nopeasti, että sovellus tekee paljon enemmän kuin antaa tyhjän ruudun koodin kirjoittamiseen.

Emacs pystyy hallitsemaan sähköpostitilejä, tiedostorakenteita ja RSS-syötteitä, mikä tekee siitä ainakin teoriassa vandaalikohteen. Suojausheikkous liittyi Enrich Text -tilaan, ja kehittäjät ilmoittivat, että se esiteltiin ensimmäisen kerran julkaisemalla Emacs 21.1. Tässä tilassa ei voitu arvioida näytön ominaisuuksien Lisp-koodia näiden ominaisuuksien tallentamiseksi tekstin kanssa.

Koska Emacs tukee lomakkeiden arviointia osana näytön ominaisuuksien käsittelyä, tällaisen rikastetun tekstin näyttäminen voi antaa editorin suorittaa haitallisen Lisp-koodin. Vaikka tämän tapahtumisen riski oli pieni, GNU: n kehittäjät pelkäsivät, että rikastettuun sähköpostiviestiin voidaan liittää vaarallinen koodi, joka suoritetaan sitten vastaanottajan koneella.

Emacs 26.1 poistaa oletusarvoisesti mielivaltaisen lomakkeen suorittamisen näytön ominaisuuksissa. Järjestelmänvalvojat, joilla on kiireellinen tarve tälle vaarantuneelle ominaisuudelle, voivat ottaa sen käyttöön manuaalisesti, jos he ymmärtävät riskin.

Niiden, joille on jo asennettu pakettien vanhemmat versiot, ei tarvitse päivittää hyödyntääkseen tietoturvakorjausta. Ohjelmiston uusimman version mukana olevan emacs.git-uutistekstitiedoston mukaan käyttäjät, jotka työskentelevät versiossa 21.1, voivat liittää yhden rivin .emacs-määritystiedostoonsa ongelman aiheuttavan ominaisuuden poistamiseksi käytöstä.

Unix- ja Linux-suojausjärjestelmien toiminnasta johtuen tähän haavoittuvuuteen liittyvät hyödyntämiset eivät todennäköisesti ole vahingoittaneet käyttäjän kotihakemiston ulkopuolella. Hyödyntäminen olisi kuitenkin saattanut pilata hypoteettisesti paikallisesti tallennetut asiakirjat ja määritystiedostot sekä lähettää haitallisia sähköpostiviestejä, jos käyttäjällä olisi ollut emacs-yhteys sähköpostipalvelimeen.