GNU / Özgür Yazılım Vakfı
GNU geliştiricileri bugün Emacs 26.1'in piyasaya sürülmesinin, yaklaşık 42 yaşındaki saygıdeğer Unix ve Linux metin düzenleyicisindeki güvenlik açığını sıkılaştırdığını duyurdu. Bir metin düzenleyicinin güvenlik güncellemelerine ihtiyaç duyması, yeni başlayanlar için garip görünse de, Emacs hayranları, uygulamanın kod yazmak için boş bir ekran sağlamaktan çok daha fazlasını yaptığını hızlıca belirteceklerdir.
Emacs e-posta hesaplarını, dosya yapılarını ve RSS beslemelerini yönetebilir, böylece onu en azından teoride vandallar için bir hedef haline getirir. Güvenlik açığı, Enrich Text moduyla ilgiliydi ve geliştiriciler, bunun ilk olarak Emacs 21.1 sürümüyle birlikte sunulduğunu bildirdi. Bu mod, bu özelliklerin metinle kaydedilmesine izin vermek için görüntü özelliklerinde Lisp kodunu değerlendiremedi.
Emacs, görüntüleme özelliklerini işlemenin bir parçası olarak formların değerlendirilmesini desteklediğinden, bu tür Zenginleştirilmiş Metinlerin görüntülenmesi, düzenleyicinin kötü amaçlı Lisp kodunu yürütmesine izin verebilir. Bunun olma riski düşükken, GNU’nun geliştiricileri tehlikeli kodun daha sonra alıcının makinesinde yürütülecek zenginleştirilmiş bir e-posta mesajına eklenmesinden korkuyordu.
Emacs 26.1, varsayılan olarak görüntü özelliklerinde rastgele form yürütmeyi devre dışı bırakır. Güvenliği ihlal edilen bu özelliğe acil ihtiyaç duyan sistem yöneticileri, riski anlarlarsa bu özelliği manuel olarak etkinleştirebilirler.
Halihazırda kurulu paketlerin eski sürümlerine sahip olanların güvenlik düzeltmesinden yararlanmak için yükseltmeleri gerekmez. Yazılımın en yeni sürümüne eşlik eden emacs.git haber metin dosyasına göre, 21.1'e geri dönen sürümlerle çalışan kullanıcılar, soruna neden olan özelliği devre dışı bırakmak için .emacs yapılandırma dosyalarına tek bir satır ekleyebilir.
Unix ve Linux güvenlik şemalarının işleyiş biçimi nedeniyle, bu güvenlik açığıyla ilgili istismarların bir kullanıcının ana dizini dışında zarar verme olasılığı düşüktür. Ancak, bir kullanıcının bir e-posta sunucusuna bağlanmış emac'leri varsa, bir istismar yerel olarak depolanan belgeleri ve yapılandırma dosyalarını varsayımsal olarak mahvedebilir ve kötü amaçlı e-posta iletileri gönderebilir.
Etiketler Linux güvenliği
