GNU Melancarkan Emacs 26.1 dan Memasang Lubang Keselamatan yang berkaitan dengan Lisp

GNU / Yayasan Perisian Percuma

Pembangun GNU hari ini mengumumkan bahawa pelepasan Emacs 26.1 memperketat lubang keselamatan di editor teks Unix dan Linux yang hampir dihormati 42 tahun. Walaupun mungkin kelihatan aneh bagi yang belum tahu bahawa editor teks memerlukan kemas kini keselamatan, peminat Emacs akan dengan cepat menunjukkan bahawa aplikasi itu jauh lebih banyak daripada menyediakan skrin kosong untuk menulis kod.

Emacs mampu mengurus akaun e-mel, struktur fail dan suapan RSS, sehingga menjadikannya sasaran untuk pengacau sekurang-kurangnya secara teori. Kerentanan keselamatan berkaitan dengan mod Enrich Text, dan pembangun melaporkan bahawa ia pertama kali diperkenalkan dengan pelepasan Emacs 21.1. Mod ini gagal menilai kod Lisp dalam sifat paparan untuk membolehkan menyimpan sifat ini dengan teks.

Oleh kerana Emacs menyokong penilaian bentuk sebagai bagian dari memproses sifat paparan, memaparkan Teks Diperkaya semacam ini dapat memungkinkan editor untuk melaksanakan kod Lisp yang berniat jahat. Walaupun risiko kejadian ini rendah, pembangun GNU takut bahawa kod berbahaya boleh dilampirkan pada mesej e-mel yang diperkaya yang kemudian akan dilaksanakan di mesin penerima.

Emacs 26.1 melumpuhkan pelaksanaan borang sewenang-wenang dalam sifat paparan secara lalai. Pentadbir sistem yang sangat memerlukan ciri yang dikompromikan ini dapat mengaktifkannya secara manual sekiranya mereka memahami risikonya.

Mereka yang mempunyai versi lama dari pakej yang sudah dipasang tidak perlu menaik taraf untuk memanfaatkan penyelesaian keselamatan. Menurut fail teks berita emacs.git yang menyertai versi terbaru perisian, pengguna yang bekerja dengan versi yang kembali ke 21.1 dapat menambahkan satu baris ke file konfigurasi .emacs mereka untuk mematikan ciri yang menyebabkan masalah.

Kerana cara skema keselamatan Unix dan Linux berfungsi, eksploitasi yang berkaitan dengan kerentanan ini tidak mungkin akan melakukan kerosakan di luar direktori utama pengguna. Walau bagaimanapun, eksploitasi dapat merosakkan dokumen dan fail konfigurasi yang disimpan secara tempatan serta mengirim mesej e-mel jahat jika pengguna mempunyai emac yang tersambung ke pelayan e-mel.