GNU phát hành Emacs 26.1 và Plugin Lỗ bảo mật liên quan đến Lisp

GNU phát hành Emacs 26.1 và Plugin Lỗ bảo mật liên quan đến Lisp

Linux-Unix / GNU phát hành Emacs 26.1 và Plugin Lỗ bảo mật liên quan đến Lisp 1 phút đọc Biểu trưng GNU Emacs

GNU / Tổ chức phần mềm tự do

Các nhà phát triển GNU hôm nay đã thông báo rằng việc phát hành Emacs 26.1 đã thắt chặt một lỗ hổng bảo mật trong trình soạn thảo văn bản Unix và Linux gần 42 tuổi đáng kính. Mặc dù có vẻ lạ đối với những người chưa quen biết rằng một trình soạn thảo văn bản sẽ yêu cầu cập nhật bảo mật, nhưng những người hâm mộ Emacs sẽ nhanh chóng chỉ ra rằng ứng dụng còn làm được nhiều điều hơn là cung cấp một màn hình trống để viết mã.



Emacs có khả năng quản lý tài khoản email, cấu trúc tệp và nguồn cấp dữ liệu RSS, do đó, ít nhất là trên lý thuyết, nó trở thành mục tiêu cho những kẻ phá hoại. Lỗ hổng bảo mật liên quan đến chế độ Enrich Text và các nhà phát triển báo cáo rằng nó được giới thiệu lần đầu tiên khi phát hành Emacs 21.1. Chế độ này không thể đánh giá mã Lisp trong các thuộc tính hiển thị để cho phép lưu các thuộc tính này với văn bản.



Vì Emacs hỗ trợ đánh giá các biểu mẫu như một phần của quá trình xử lý thuộc tính hiển thị, việc hiển thị loại Văn bản phong phú này có thể cho phép trình chỉnh sửa thực thi mã Lisp độc hại. Mặc dù nguy cơ xảy ra điều này là thấp, nhưng các nhà phát triển của GNU sợ rằng mã nguy hiểm có thể được đính kèm vào một thông báo email đã được bổ sung chi tiết mà sau đó sẽ thực thi trên máy của người nhận.

Emacs 26.1 vô hiệu hóa việc thực thi biểu mẫu tùy ý trong các thuộc tính hiển thị theo mặc định. Quản trị viên hệ thống có nhu cầu cấp thiết về tính năng bị xâm phạm này có thể kích hoạt tính năng này theo cách thủ công nếu họ hiểu rõ rủi ro.



Những người có phiên bản cũ hơn của gói đã được cài đặt không cần nâng cấp để tận dụng bản sửa lỗi bảo mật. Theo tệp văn bản tin tức emacs.git đi kèm với phiên bản mới nhất của phần mềm, người dùng làm việc với các phiên bản quay trở lại 21.1 có thể nối thêm một dòng vào tệp cấu hình .emacs của họ để tắt tính năng gây ra sự cố.

Do cách thức hoạt động của các lược đồ bảo mật Unix và Linux, các hoạt động khai thác liên quan đến lỗ hổng này sẽ khó có thể gây ra thiệt hại bên ngoài thư mục chính của người dùng. Tuy nhiên, theo giả thuyết, một vụ khai thác có thể đã phá hỏng các tài liệu và tệp cấu hình được lưu trữ cục bộ cũng như gửi thư email độc hại nếu người dùng có emac được kết nối với máy chủ email.

Thẻ Bảo mật Linux