GNU เปิดตัว Emacs 26.1 และเสียบรูรักษาความปลอดภัยที่เกี่ยวข้องกับ Lisp

GNU เปิดตัว Emacs 26.1 และเสียบรูรักษาความปลอดภัยที่เกี่ยวข้องกับ Lisp

ลินุกซ์ - ยูนิกซ์ / GNU เปิดตัว Emacs 26.1 และเสียบรูรักษาความปลอดภัยที่เกี่ยวข้องกับ Lisp อ่าน 1 นาที โลโก้ GNU Emacs

GNU / มูลนิธิซอฟต์แวร์เสรี

นักพัฒนา GNU ประกาศในวันนี้ว่าการเปิดตัว Emacs 26.1 ได้กระชับช่องโหว่ด้านความปลอดภัยในโปรแกรมแก้ไขข้อความ Unix และ Linux ที่มีอายุเกือบ 42 ปี แม้ว่าจะดูแปลกสำหรับผู้ที่ไม่ได้ฝึกหัดที่โปรแกรมแก้ไขข้อความจะต้องมีการอัปเดตความปลอดภัย แต่แฟน ๆ ของ Emacs จะชี้ให้เห็นอย่างรวดเร็วว่าแอปพลิเคชันทำมากกว่าการให้หน้าจอว่างเปล่าเพื่อเขียนโค้ด



Emacs มีความสามารถในการจัดการบัญชีอีเมลโครงสร้างไฟล์และฟีด RSS จึงทำให้เป็นเป้าหมายของคนป่าเถื่อนอย่างน้อยก็ในทางทฤษฎี ช่องโหว่ด้านความปลอดภัยเกี่ยวข้องกับโหมด Enrich Text และนักพัฒนารายงานว่าเป็นครั้งแรกที่มีการเปิดตัว Emacs 21.1 โหมดนี้ไม่สามารถประเมินโค้ด Lisp ในคุณสมบัติการแสดงผลเพื่ออนุญาตให้บันทึกคุณสมบัติเหล่านี้ด้วยข้อความ

เนื่องจาก Emacs สนับสนุนการประเมินรูปแบบซึ่งเป็นส่วนหนึ่งของการประมวลผลคุณสมบัติการแสดงผลการแสดง Enriched Text ประเภทนี้อาจทำให้ตัวแก้ไขรันโค้ด Lisp ที่เป็นอันตรายได้ แม้ว่าความเสี่ยงของเหตุการณ์นี้จะอยู่ในระดับต่ำ แต่นักพัฒนาของ GNU ก็กลัวว่าอาจแนบรหัสอันตรายไปกับข้อความอีเมลที่สมบูรณ์ซึ่งจะดำเนินการบนเครื่องของผู้รับ

Emacs 26.1 ปิดใช้งานการเรียกใช้ฟอร์มโดยพลการในคุณสมบัติการแสดงผลตามค่าเริ่มต้น ผู้ดูแลระบบที่มีความจำเป็นเร่งด่วนสำหรับคุณลักษณะที่ถูกบุกรุกนี้สามารถเปิดใช้งานได้ด้วยตนเองหากเข้าใจถึงความเสี่ยง



ผู้ที่ติดตั้งแพ็กเกจเวอร์ชันเก่าแล้วไม่จำเป็นต้องอัปเกรดเพื่อใช้ประโยชน์จากโปรแกรมแก้ไขความปลอดภัย ตามไฟล์ข้อความข่าว emacs.git ที่มาพร้อมกับซอฟต์แวร์เวอร์ชันใหม่ล่าสุดผู้ใช้ที่ทำงานกับเวอร์ชันที่ย้อนกลับไปเป็น 21.1 สามารถต่อท้ายบรรทัดเดียวในไฟล์กำหนดค่า. emacs เพื่อปิดใช้งานคุณลักษณะที่ทำให้เกิดปัญหา

เนื่องจากวิธีการทำงานของแผนการรักษาความปลอดภัย Unix และ Linux การใช้ช่องโหว่ที่เกี่ยวข้องกับช่องโหว่นี้จึงไม่น่าจะสร้างความเสียหายภายนอกไดเร็กทอรีหลักของผู้ใช้ อย่างไรก็ตามการใช้ประโยชน์อาจทำลายเอกสารและไฟล์การกำหนดค่าที่จัดเก็บไว้ในเครื่องโดยสมมุติเช่นเดียวกับการส่งข้อความอีเมลที่เป็นอันตรายหากผู้ใช้มี emac ที่เชื่อมต่อกับเซิร์ฟเวอร์อีเมล

แท็ก ความปลอดภัยของ Linux