GNU / Free Software Foundation
GNU-ontwikkelaars hebben vandaag aangekondigd dat de uitgave van Emacs 26.1 een beveiligingslek in de eerbiedwaardige bijna 42 jaar oude Unix- en Linux-teksteditor heeft dichtgemaakt. Hoewel het voor niet-ingewijden misschien vreemd lijkt dat een teksteditor beveiligingsupdates nodig heeft, zullen fans van Emacs er snel op wijzen dat de applicatie veel meer doet dan alleen een leeg scherm bieden om code te schrijven.
Emacs is in staat om e-mailaccounts, bestandsstructuren en RSS-feeds te beheren, waardoor het in ieder geval in theorie een doelwit is voor vandalen. Het beveiligingsprobleem was gerelateerd aan de Enrich Text-modus en ontwikkelaars melden dat het voor het eerst werd geïntroduceerd met de release van Emacs 21.1. Deze modus kon de Lisp-code in de weergave-eigenschappen niet evalueren om deze eigenschappen samen met de tekst op te slaan.
Aangezien Emacs de evaluatie van formulieren ondersteunt als onderdeel van het verwerken van de weergave-eigenschappen, kan het weergeven van dit soort verrijkte tekst de editor in staat stellen om kwaadaardige Lisp-code uit te voeren. Hoewel het risico dat dit zou gebeuren klein was, waren de ontwikkelaars van GNU bang dat gevaarlijke code kon worden toegevoegd aan een verrijkt e-mailbericht dat vervolgens zou worden uitgevoerd op de machine van de ontvanger.
Emacs 26.1 schakelt het uitvoeren van willekeurige formulieren in de weergave-eigenschappen standaard uit. Systeembeheerders die dringend behoefte hebben aan deze gecompromitteerde functie, kunnen deze handmatig inschakelen als ze het risico begrijpen.
Degenen met oudere versies van de pakketten die al zijn geïnstalleerd, hoeven niet te upgraden om te profiteren van de beveiligingsfix. Volgens het emacs.git-nieuwstekstbestand dat bij de nieuwste versie van de software hoort, kunnen gebruikers die werken met versies die teruggaan tot 21.1 een enkele regel toevoegen aan hun .emacs-configuratiebestand om de functie die het probleem veroorzaakt uit te schakelen.
Vanwege de manier waarop Unix- en Linux-beveiligingsschema's werken, is het onwaarschijnlijk dat exploits met betrekking tot deze kwetsbaarheid schade aanrichten buiten de homedirectory van een gebruiker. Een exploit kan echter hypothetisch lokaal opgeslagen documenten en configuratiebestanden hebben geruïneerd en kwaadaardige e-mailberichten hebben verzonden als een gebruiker emacs had verbonden met een e-mailserver.
Tags Linux-beveiliging
![1Password Chrome-extensie werkt niet [SOLVED]](https://jf-balio.pt/img/how-tos/80/1password-chrome-extension-not-working.png)
