GNU /フリーソフトウェアファウンデーション
GNU開発者は本日、Emacs 26.1のリリースにより、42年前の由緒あるUnixおよびLinuxテキストエディタのセキュリティホールが強化されたと発表しました。テキストエディタがセキュリティアップデートを必要とすることは初心者には奇妙に思えるかもしれませんが、Emacsのファンは、アプリケーションがコードを書くための空白の画面を提供するだけではないことをすぐに指摘します。
Emacsは、電子メールアカウント、ファイル構造、RSSフィードを管理できるため、少なくとも理論的には破壊行為の標的になります。セキュリティの脆弱性はEnrichTextモードに関連しており、開発者はEmacs21.1のリリースで最初に導入されたと報告しています。このモードでは、表示プロパティのLispコードを評価して、これらのプロパティをテキストと一緒に保存することができませんでした。
Emacsは表示プロパティの処理の一部としてフォームの評価をサポートしているため、この種のエンリッチドテキストを表示すると、エディターが悪意のあるLispコードを実行する可能性があります。これが発生するリスクは低いものの、GNUの開発者は、危険なコードが強化された電子メールメッセージに添付され、受信者のマシンで実行される可能性があることを恐れていました。
Emacs 26.1は、デフォルトで表示プロパティでの任意のフォームの実行を無効にします。この侵害された機能を緊急に必要としているシステム管理者は、リスクを理解していれば、手動で有効にすることができます。
古いバージョンのパッケージがすでにインストールされている場合は、セキュリティ修正を利用するためにアップグレードする必要はありません。ソフトウェアの最新バージョンに付属するemacs.gitニューステキストファイルによると、21.1に戻るバージョンで作業しているユーザーは、.emacs構成ファイルに1行を追加して、問題の原因となる機能を無効にすることができます。
UnixおよびLinuxのセキュリティスキームが機能する方法により、この脆弱性に関連するエクスプロイトがユーザーのホームディレクトリの外部に損害を与える可能性はほとんどありませんでした。ただし、ユーザーがemacsを電子メールサーバーに接続している場合、エクスプロイトによってローカルに保存されたドキュメントや構成ファイルが破壊されたり、悪意のある電子メールメッセージが送信されたりする可能性があります。
タグ Linuxのセキュリティ
