A GNU kiadja az Emacs 26.1-et és bedugja a Lisp-hez kapcsolódó biztonsági lyukat

GNU / Free Software Foundation

A GNU fejlesztői ma bejelentették, hogy az Emacs 26.1 kiadása megerősítette a biztonsági lyukat a tiszteletreméltó, közel 42 éves Unix és Linux szövegszerkesztőben. Bár a kezdők számára furcsának tűnhet, hogy egy szövegszerkesztő biztonsági frissítéseket igényel, az Emacs rajongói gyorsan rámutatnak, hogy az alkalmazás sokkal többet jelent, mint egy üres képernyőt a kódíráshoz.

Az Emacs képes kezelni az e-mail fiókokat, a fájlstruktúrákat és az RSS-hírcsatornákat, így legalább elméletben a vandálok célpontjává válik. A biztonsági rés az Enrich Text módhoz kapcsolódott, és a fejlesztők arról számoltak be, hogy először az Emacs 21.1 kiadásával vezették be. Ebben a módban nem sikerült kiértékelni a megjelenítési tulajdonságok Lisp-kódját, hogy lehetővé tegye ezeknek a tulajdonságoknak a szöveggel történő mentését.

Mivel az Emacs támogatja az űrlapok kiértékelését a megjelenítési tulajdonságok feldolgozása részeként, az ilyen gazdagított szöveg megjelenítésével a szerkesztő rosszindulatú Lisp-kódot hajthat végre. Bár ennek kockázata alacsony volt, a GNU fejlesztői féltek, hogy veszélyes kódot lehet csatolni egy gazdagított e-mailhez, amelyet aztán a címzett gépén végrehajtanak.

Az Emacs 26.1 alapértelmezés szerint letiltja az önkényes űrlapfuttatást a megjelenítési tulajdonságokban. A rendszergazdák, akiknek sürgető szükségük van erre a veszélyeztetett szolgáltatásra, manuálisan engedélyezhetik, ha megértik a kockázatot.

Azoknak, akiknek a csomagjainak régebbi verziói vannak már telepítve, nem kell frissíteniük a biztonsági javítás előnyeinek kihasználásához. A szoftver legújabb verzióját kísérő emacs.git hír szövegfájl szerint a 21.1-re visszanyúló verzióval dolgozó felhasználók egyetlen sort fűzhetnek a .emacs konfigurációs fájljukhoz, hogy letiltsák a problémát okozó szolgáltatást.

A Unix és a Linux biztonsági sémáinak működési módja miatt a biztonsági réshez kapcsolódó kihasználások valószínűleg nem okoznak kárt a felhasználó saját könyvtárán kívül. Ugyanakkor a kihasználás hipotetikusan tönkretehette a helyben tárolt dokumentumokat és konfigurációs fájlokat, valamint rosszindulatú e-mail üzeneteket küldhetett, ha a felhasználó emacs-ot csatlakoztatott egy e-mail szerverhez.