GNU vydáva Emacs 26.1 a upcháva bezpečnostnú dieru súvisiacu s Lisp

GNU / Free Software Foundation

Vývojári GNU dnes oznámili, že vydanie Emacsu 26.1 utiahlo bezpečnostnú dieru v úctyhodnom takmer 42-ročnom textovom editore Unix a Linux. Aj keď by sa neznalým mohlo zdať čudné, že textový editor by vyžadoval bezpečnostné aktualizácie, fanúšikovia Emacsu rýchlo zdôraznia, že aplikácia umožňuje oveľa viac, ako len poskytnúť prázdnu obrazovku na napísanie kódu.

Emacs je schopný spravovať e-mailové účty, štruktúry súborov a kanály RSS, čím sa stáva terčom vandalov aspoň teoreticky. Zraniteľnosť zabezpečenia súvisela s režimom Enrich Text a vývojári uvádzajú, že bola prvýkrát predstavená vydaním aplikácie Emacs 21.1. V tomto režime sa nepodarilo vyhodnotiť kód Lisp vo vlastnostiach zobrazenia, aby bolo možné tieto vlastnosti uložiť spolu s textom.

Pretože Emacs podporuje vyhodnotenie formulárov ako súčasť spracovania vlastností zobrazenia, zobrazovanie tohto druhu obohateného textu by editorovi umožnilo spustiť škodlivý kód Lisp. Aj keď riziko tejto udalosti bolo nízke, vývojári GNU sa obávali, že k obohatenej e-mailovej správe bude možné pripojiť nebezpečný kód, ktorý sa potom spustí na počítači príjemcu.

Emacs 26.1 predvolene zakazuje vykonávanie ľubovoľných formulárov vo vlastnostiach zobrazenia. Správcovia systému, ktorí majú naliehavú potrebu tejto narušenej funkcie, ju môžu povoliť manuálne, ak pochopia dané riziko.

Tí, ktorí majú staršie verzie balíkov už nainštalovaných, nemusia inovovať, aby mohli využívať výhody zabezpečenia. Podľa textového súboru noviniek emacs.git, ktorý je priložený k najnovšej verzii softvéru, môžu používatelia pracujúci s verziami späť na 21.1 pridať jeden riadok do svojho konfiguračného súboru .emacs, čím deaktivujú funkciu, ktorá spôsobuje problém.

Vzhľadom na spôsob fungovania bezpečnostných systémov Unix a Linux je nepravdepodobné, že by exploity súvisiace s touto chybou zabezpečenia spôsobili škody mimo domovského adresára používateľa. Avšak exploit by mohol hypoteticky zničiť lokálne uložené dokumenty a konfiguračné súbory, ako aj odoslať škodlivé e-mailové správy, ak by mal používateľ emacs pripojený k e-mailovému serveru.