GNU llança Emacs 26.1 i connecta el forat de seguretat relacionat amb Lisp

Linux-Unix / GNU llança Emacs 26.1 i connecta el forat de seguretat relacionat amb Lisp 1 minut de lectura Logotip de GNU Emacs

GNU / Free Software Foundation

Els desenvolupadors de GNU han anunciat avui que el llançament d’Emacs 26.1 va endurir un forat de seguretat en el venerable editor de text Unix i Linux de gairebé 42 anys. Tot i que per als no iniciats pot semblar estrany que un editor de text requereixi actualitzacions de seguretat, els fans d’Emacs ràpidament assenyalaran que l’aplicació fa molt més que proporcionar una pantalla en blanc per escriure codi.

Emacs és capaç de gestionar comptes de correu electrònic, estructures de fitxers i canals RSS, convertint-lo en un objectiu per als vàndals almenys en teoria. La vulnerabilitat de seguretat estava relacionada amb el mode Enrich Text i els desenvolupadors informen que es va introduir per primera vegada amb la versió d’Emacs 21.1. Aquest mode no ha pogut avaluar el codi Lisp a les propietats de visualització per permetre desar aquestes propietats amb el text.



Atès que Emacs admet l'avaluació de formularis com a part del processament de les propietats de visualització, mostrar aquest tipus de text enriquit podria permetre a l'editor executar codi Lisp maliciós. Tot i que el risc que això passés era baix, els desenvolupadors de GNU temien que es pogués adjuntar codi perillós a un missatge de correu electrònic enriquit que després s’executaria a la màquina del destinatari.

Emacs 26.1 desactiva per defecte l'execució de formes arbitràries a les propietats de visualització. Els administradors de sistemes que tinguin una necessitat urgent d'aquesta característica compromesa poden habilitar-la manualment si entenen el risc.

Aquells amb versions anteriors dels paquets ja instal·lats no necessiten actualitzar-se per aprofitar la solució de seguretat. Segons el fitxer de text de notícies emacs.git que acompanya la versió més recent del programari, els usuaris que treballin amb versions anteriors a la versió 21.1 poden afegir una sola línia al fitxer de configuració .emacs per desactivar la característica que causa el problema.

A causa de la forma en què funcionen els esquemes de seguretat Unix i Linux, és probable que les explotacions relacionades amb aquesta vulnerabilitat no causessin danys fora del directori inicial d’un usuari. Tot i això, un exploit podria haver arruïnat hipotèticament documents i fitxers de configuració emmagatzemats localment, així com haver enviat missatges de correu electrònic maliciosos si un usuari tingués emacs connectat a un servidor de correu electrònic.

Etiquetes Seguretat de Linux 28 de maig de 2018 1 minut de lectura