BUG FIX SEGURANÇA É GRAVE NO VIM EDITOR

[HOME BLOG]

bug de segurança grave no editor Vim.

 

Loving usuários de editores de texto em todos os lugares deu um suspiro de alívio esta semana, quando a comunidade open source arranjado um erro em um dos programas mais veneráveis ​​* nix: vitalidade.

A batalha entre o antecessor vitalidade, ViE editor de texto rival, Emacs, remonta a 1976, quando ambos foram liberados. Eles têm sido uma vez que quase religiões em um hackers guerra santa.

Richard StallmanQue Emacs escreveu, ele anunciou a famosa Igreja de Emacs, com ele mesmo como seu santo. Pagãos pode escolher o Cult of Vi, embora Vim (Vi Improved) foi lançado em 1981 com novos recursos e tornou-se o programa de facto referindo-se Vi.

Os defensores de cada lado que lança tiros para o lado oposto, mas como uma divina quer controle sobre o seu editor de texto em comparação com processadores de texto modernos mercado de massa, ambos irão atendê-lo bem e tudo vai ser divertido.

Esta semana, no entanto, um pesquisador descobriu uma falha perigosa vitalidade. Armin Razmjou (@rawsec) Descoberto um alto erro de gravidade no editor de texto que poderia permitir que um atacante remoto deixou o sandbox o editor e executar código arbitrário na máquina (computador central).

O ataque explora uma vulnerabilidade de uma característica vitalidade chamada modelinesQue permite que você defina variáveis ​​específicas para um arquivo. Enquanto estas declarações estão na linha de frente, vitalidade interpretados como instruções. Eles podem dizer vitalidade mostrando o arquivo com uma largura de texto de 60 caracteres, por exemplo. Ou talvez você quer expandir tabulações para espaços para evitar a ira de um outro geek.

vitalidade É um poderoso editor de texto que inclui muitos comandos scripting. modelines Ele é cuidadoso com a corrida. Executar diversos comandos em sandbox para evitar que alguém texto malicioso criar arquivos que podem alterar o sistema. Razmjou descobriu uma maneira de fazer esses comandos são executados fora do sandbox.

Um invasor pode usar esta técnica para obter o computador da vítima fazer nada persuadir para abrir o arquivo. Razmjou ele demonstrou com duas provas de programas de conceito.

Felizmente, adoradores vitalidade em todos os lugares podem se alegrar, porque o erro foi expulso. Razmjou Ele disse que os responsáveis ​​por ambos os projetos sobre o erro no dia 22 de maio de 2019. A comunidade de Vim remendado ele no dia seguinte, e a comunidade de Neovim fez uma semana após notificação. A decisão tem o código CVE-2019-12735E o NIST dá uma classificação de vulnerabilidade 8,6 (alta), sob CVSS 3.0.

IMPORTANTE:

Se você não recebeu uma atualização para corrigir o percevejo o sistema operacional será fortemente recomendável que você remova Vin seu sistema até que a atualização está disponível ou você pode instalar uma cópia limpa depois de ter retirado a vulnerabilidade. instruções você aqui.

O que você acha?

Por favor entrar para comentar
subscrever
relatório do