GNU objavio Emacs 26.1 i začepio sigurnosnu rupu povezanu s Lispom

GNU / Zaklada za slobodni softver

Programeri GNU najavili su danas da je izdanje Emacs 26.1 zaoštrilo sigurnosnu rupu u časnom gotovo 42-godišnjem Unixu i Linuxovom uređivaču teksta. Iako bi se neupućenima moglo učiniti neobičnim da će uređivač teksta zahtijevati sigurnosna ažuriranja, obožavatelji Emacs-a brzo će istaknuti da aplikacija čini mnogo više od pukog zaslona za pisanje koda.

Emacs je sposoban upravljati računima e-pošte, strukturama datoteka i RSS feedovima, što ga čini meta vandala, barem u teoriji. Sigurnosna ranjivost povezana je s načinom obogaćivanja teksta, a programeri izvještavaju da je prvi put predstavljena izdanjem Emacs 21.1. Ovaj način nije uspio procijeniti Lisp kôd u svojstvima prikaza kako bi omogućio spremanje tih svojstava s tekstom.

Budući da Emacs podržava evaluaciju obrazaca kao dio obrade svojstava prikaza, prikazivanje ove vrste Obogaćenog teksta može uredniku omogućiti izvršavanje zlonamjernog Lisp koda. Iako je rizik da se to dogodi bio mali, programeri GNU-a bojali su se da se opasni kod može priložiti obogaćenoj poruci e-pošte koja će se potom izvršiti na računalu primatelja.

Emacs 26.1 prema zadanim postavkama onemogućuje proizvoljno izvršavanje obrasca u svojstvima prikaza. Administratori sustava koji prijeko trebaju ovu ugroženu značajku mogu je ručno omogućiti ako razumiju rizik.

Oni sa starijim verzijama već instaliranih paketa ne trebaju nadograditi kako bi iskoristili sigurnosni popravak. Prema tekstualnoj datoteci vijesti emacs.git koja prati najnoviju verziju softvera, korisnici koji rade s verzijama od 21.1 mogu dodati jedan redak u svoju .emacs konfiguracijsku datoteku kako bi onemogućili značajku koja uzrokuje problem.

Zbog načina na koji funkcioniraju sigurnosne sheme Unixa i Linuxa, eksploatacije povezane s ovom ranjivošću vjerojatno ne bi nanijele štetu izvan korisničkog kućnog direktorija. Međutim, exploit bi mogao hipotetski uništiti lokalno pohranjene dokumente i konfiguracijske datoteke, kao i poslati zlonamjerne poruke e-pošte ako je korisnik imao emacs spojen na poslužitelj e-pošte.