GNU išleidžia „Emacs 26.1“ ir prijungia su „Lisp“ susijusią saugos skylę

GNU / Free Software Foundation

GNU kūrėjai šiandien paskelbė, kad išleidus „Emacs 26.1“, sugriežtinta saugumo skylė garbingame beveik 42 metų senumo „Unix“ ir „Linux“ teksto redaktoriuje. Nepatyrusiems žmonėms gali pasirodyti keista, kad teksto redaktoriui reikės atnaujinti saugą, „Emacs“ gerbėjai greitai nurodys, kad programa žymiai daugiau nei pateikia tuščią ekraną, kad galėtų rašyti kodą.

„Emacs“ gali valdyti el. Pašto paskyras, failų struktūras ir RSS srautus, todėl bent jau teoriškai tai tampa vandalų taikiniu. Saugumo pažeidžiamumas buvo susijęs su „Enrich Text“ režimu, ir kūrėjai praneša, kad jis pirmą kartą buvo pristatytas išleidus „Emacs 21.1“. Šis režimas neįvertino „Lisp“ kodo ekrano ypatybėse, kad būtų galima išsaugoti šias ypatybes su tekstu.

Kadangi „Emacs“ palaiko formų vertinimą apdorojant rodymo ypatybes, rodant tokio tipo praturtintą tekstą redaktorius gali leisti vykdyti kenkėjišką „Lisp“ kodą. Nors rizika, kad taip nutiks, buvo maža, GNU kūrėjai bijojo, kad prie praturtinto el. Laiško gali būti pridėtas pavojingas kodas, kuris tada bus vykdomas gavėjo mašinoje.

„Emacs 26.1“ pagal numatytuosius nustatymus išjungia savavališką formos vykdymą rodymo ypatybėse. Sistemos administratoriai, kuriems skubiai reikalinga ši pažeista funkcija, gali ją įjungti rankiniu būdu, jei supranta riziką.

Tiems, kurie jau įdiegė senesnes paketų versijas, nereikia naujovinti, kad galėtų pasinaudoti saugos pataisomis. Remiantis emacs.git naujienų teksto rinkmena, pridedama prie naujausios programinės įrangos versijos, vartotojai, dirbantys su versijomis, pradedančiomis 21.1 versiją, prie savo .emacs konfigūracijos failo gali pridėti vieną eilutę, kad išjungtų problemą sukeliančią funkciją.

Dėl to, kaip veikia „Unix“ ir „Linux“ saugos schemos, vargu ar būtų padaryta žala, susijusi su šiuo pažeidžiamumu, ne žala už vartotojo namų katalogo ribų. Tačiau išnaudojimas galėjo hipotetiškai sugadinti vietoje saugomus dokumentus ir konfigūracijos failus, taip pat išsiųsti kenksmingus el. Laiškus, jei vartotojas turėjo „emacs“ ryšį su el. Pašto serveriu.