GNU / Free Software Foundation
Razvijalci GNU so danes sporočili, da je izdaja Emacs 26.1 zaostrila varnostno luknjo v častitljivem skoraj 42-letnem urejevalniku besedil Unix in Linux. Čeprav se nepoznavalcem zdi nenavadno, da bo urejevalnik besedil zahteval varnostne posodobitve, bodo oboževalci Emacsa hitro opozorili, da aplikacija naredi veliko več kot le prazen zaslon za pisanje kode.
Emacs je sposoben upravljati e-poštne račune, strukture datotek in vire RSS, tako da je vsaj v teoriji tarča vandalov. Varnostna ranljivost je bila povezana z načinom obogatitve besedila in razvijalci poročajo, da je bila prvič predstavljena z izdajo programa Emacs 21.1. V tem načinu ni bilo mogoče oceniti Lisp-ove kode v lastnostih zaslona, da bi omogočil shranjevanje teh lastnosti z besedilom.
Ker Emacs podpira ocenjevanje obrazcev kot del obdelave lastnosti zaslona, lahko prikaz tovrstnega obogatenega besedila urejevalniku omogoči izvajanje zlonamerne kode Lisp. Medtem ko je bilo tveganje, da se to zgodi, nizko, so se razvijalci GNU bali, da bi lahko na obogateno e-poštno sporočilo priložili nevarno kodo, ki bi se nato izvršila na prejemnikovem računalniku.
Emacs 26.1 privzeto onemogoči poljubno izvajanje obrazca v lastnostih zaslona. Sistemski skrbniki, ki nujno potrebujejo to ogroženo funkcijo, jo lahko ročno omogočijo, če razumejo tveganje.
Tistim s starejšimi različicami že nameščenih paketov ni treba nadgrajevati, da bi izkoristili varnostni popravek. Glede na besedilno datoteko z novicami emacs.git, ki spremlja najnovejšo različico programske opreme, lahko uporabniki, ki delajo z različicami, starejšimi od 21.1, v svojo konfiguracijsko datoteko .emacs dodajo eno vrstico, da onemogočijo funkcijo, ki povzroča težavo.
Zaradi načina delovanja varnostnih shem Unix in Linux verjetno ne bi škodili izkoriščanjem te ranljivosti zunaj uporabnikovega domačega imenika. Izkoriščanje pa bi lahko hipotetično uničilo lokalno shranjene dokumente in konfiguracijske datoteke ter poslalo zlonamerna e-poštna sporočila, če bi imel uporabnik emacs povezan z e-poštnim strežnikom.
Oznake Varnost Linuxa
