GNU vydává Emacs 26.1 a zaplňuje bezpečnostní otvor související s Lisp

GNU / Free Software Foundation

Vývojáři GNU dnes oznámili, že vydání Emacsu 26.1 zpřísnilo bezpečnostní díru ve ctihodném téměř 42letém textovém editoru Unix a Linux. I když by se nezasvěceným lidem mohlo zdát divné, že by textový editor vyžadoval bezpečnostní aktualizace, fanoušci Emacsu budou rychle upozorňovat na to, že aplikace nabízí mnohem víc, než poskytuje prázdnou obrazovku pro psaní kódu.

Emacs je schopen spravovat e-mailové účty, struktury souborů a kanály RSS, což z něj činí alespoň teoreticky cíl pro vandaly. Chyba zabezpečení souvisela s režimem Enrich Text a vývojáři uvádějí, že byla poprvé představena vydáním Emacsu 21.1. V tomto režimu se nepodařilo vyhodnotit kód Lisp ve vlastnostech zobrazení, aby bylo možné tyto vlastnosti uložit spolu s textem.

Protože Emacs podporuje vyhodnocování formulářů jako součást zpracování vlastností zobrazení, zobrazení tohoto druhu obohaceného textu by editoru umožnilo spustit škodlivý kód Lisp. Zatímco riziko této události bylo nízké, vývojáři GNU se obávali, že k obohacené e-mailové zprávě bude možné připojit nebezpečný kód, který se poté spustí na počítači příjemce.

Emacs 26.1 ve výchozím nastavení zakazuje libovolné provádění formulářů ve vlastnostech zobrazení. Správci systému, kteří mají naléhavou potřebu této kompromitované funkce, ji mohou povolit ručně, pokud pochopí riziko.

Uživatelé se staršími verzemi již nainstalovaných balíčků nemusejí upgradovat, aby mohli využívat výhody opravy zabezpečení. Podle textového souboru zpráv emacs.git, který doprovází nejnovější verzi softwaru, mohou uživatelé pracující s verzemi od verze 21.1 připojit ke svému konfiguračnímu souboru .emacs jeden řádek, aby deaktivovali funkci, která způsobuje problém.

Vzhledem k tomu, jak fungují bezpečnostní systémy Unix a Linux, je nepravděpodobné, že by exploity související s touto chybou zabezpečení způsobily škody mimo domovský adresář uživatele. Zneužití však mohlo hypoteticky zničit lokálně uložené dokumenty a konfigurační soubory a také odeslat škodlivé e-mailové zprávy, pokud by měl uživatel emacs připojený k e-mailovému serveru.