GNU / Vaba Tarkvara Sihtasutus
GNU arendajad teatasid täna, et Emacs 26.1 väljaandmine tõmbas auväärse ligi 42-aastase Unixi ja Linuxi tekstiredaktori turvaava tugevamaks. Kuigi asjatundmatule võib tunduda kummaline, et tekstiredaktor vajab turbevärskendusi, osutavad Emacsi fännid kiiresti, et rakendus teeb palju rohkem kui koodi kirjutamiseks tühja ekraani.
Emacs suudab hallata e-posti kontosid, failistruktuure ja RSS-kanaleid, muutes selle vähemalt teoreetiliselt vandaalide sihtmärgiks. Turvahaavatavus oli seotud režiimi rikastamine tekstiga ja arendajad teatasid, et see võeti esmakordselt kasutusele Emacs 21.1 väljaandmisega. Selles režiimis ei õnnestunud Lisp koodi kuvamise atribuutides hinnata, et võimaldada nende omaduste salvestamist koos tekstiga.
Kuna Emacs toetab kuvade atribuutide töötlemise osana vormide hindamist, võib selline rikastatud teksti kuvamine võimaldada redaktoril käivitada pahatahtliku Lisp-koodi. Kuigi selle juhtumise oht oli väike, kartsid GNU arendajad, et rikastatud e-kirjale võib lisada ohtliku koodi, mis seejärel täidetakse saaja masinas.
Emacs 26.1 keelab vaikimisi suvalise vormi täitmise kuva atribuutides. Süsteemiadministraatorid, kellel on tungiv vajadus selle rikutud funktsiooni järele, saavad selle käsitsi lubada, kui nad riskist aru saavad.
Need, kellel on juba installitud pakettide vanemad versioonid, ei pea turvaparanduse kasutamiseks uuendama. Tarkvara uusima versiooniga kaasneva uudiste tekstifaili emacs.git järgi võivad kasutajad, kes töötavad versioonile 21.1 tagasi, lisada probleemi põhjustava funktsiooni keelamiseks ühe rea oma .emacs-i konfiguratsioonifaili.
Unixi ja Linuxi turvaskeemide toimimisviisi tõttu ei oleks selle haavatavusega seotud ekspluateerimised tõenäoliselt kahjustanud väljaspool kasutaja kodukataloogi. Kui kasutajal olid aga e-posti serveriga ühendatud emacs, võis ekspluateerimine hüpoteetiliselt rikkuda kohapeal salvestatud dokumente ja konfiguratsioonifaile ning saata pahatahtlikke e-kirju.
Sildid Linuxi turvalisus
