مؤسسة جنو / البرمجيات الحرة
أعلن مطورو GNU اليوم أن إصدار Emacs 26.1 قد شدد من ثغرة أمنية في محرر نصوص يونكس ولينكس البالغ من العمر 42 عامًا. على الرغم من أنه قد يبدو غريبًا بالنسبة للمبتدئين أن محرر النصوص قد يتطلب تحديثات أمنية ، فإن محبي Emacs سيسارعون إلى الإشارة إلى أن التطبيق يقوم بأكثر من مجرد توفير شاشة فارغة لكتابة التعليمات البرمجية.
Emacs قادر على إدارة حسابات البريد الإلكتروني ، وهياكل الملفات وموجزات RSS ، مما يجعله هدفًا للمخربين على الأقل من الناحية النظرية. كانت الثغرة الأمنية مرتبطة بوضع Enrich Text ، وأفاد المطورون أنه تم تقديمها لأول مرة مع إصدار Emacs 21.1. فشل هذا الوضع في تقييم كود Lisp في خصائص العرض للسماح بحفظ هذه الخصائص مع النص.
نظرًا لأن Emacs يدعم تقييم النماذج كجزء من معالجة خصائص العرض ، فإن عرض هذا النوع من النص المخصب قد يسمح للمحرر بتنفيذ تعليمات Lisp الخبيثة. بينما كان خطر حدوث هذا منخفضًا ، كان مطورو GNU خائفين من إمكانية إرفاق رمز خطير برسالة بريد إلكتروني غنية يتم تنفيذها بعد ذلك على جهاز المستلم.
يعطل Emacs 26.1 تنفيذ النموذج التعسفي في خصائص العرض افتراضيًا. يمكن لمسؤولي النظام الذين لديهم حاجة ملحة لهذه الميزة المخترقة تمكينها يدويًا إذا فهموا المخاطر.
أولئك الذين لديهم إصدارات أقدم من الحزم المثبتة بالفعل لا يحتاجون إلى الترقية للاستفادة من الإصلاح الأمني. وفقًا للملف النصي الإخباري emacs.git المصاحب للإصدار الأحدث من البرنامج ، يمكن للمستخدمين الذين يعملون مع الإصدارات التي تعود إلى 21.1 إلحاق سطر واحد بملف تكوين emacs الخاص بهم لتعطيل الميزة التي تسبب المشكلة.
نظرًا للطريقة التي تعمل بها أنظمة أمان Unix و Linux ، فمن غير المرجح أن تؤدي عمليات الاستغلال المتعلقة بهذه الثغرة الأمنية إلى حدوث ضرر خارج الدليل الرئيسي للمستخدم. ومع ذلك ، من الممكن أن تؤدي إحدى عمليات الاستغلال افتراضيًا إلى تدمير المستندات وملفات التكوين المخزنة محليًا بالإضافة إلى إرسال رسائل بريد إلكتروني ضارة إذا كان لدى المستخدم رموز emac متصلة بخادم البريد الإلكتروني.
العلامات أمان Linux
