GNU / Free Software Foundation
GNU-Entwickler gaben heute bekannt, dass die Veröffentlichung von Emacs 26.1 eine Sicherheitslücke im ehrwürdigen, fast 42 Jahre alten Unix- und Linux-Texteditor geschlossen hat. Während es für Uneingeweihte seltsam erscheinen mag, dass ein Texteditor Sicherheitsupdates benötigt, werden Fans von Emacs schnell darauf hinweisen, dass die Anwendung weit mehr als nur einen leeren Bildschirm zum Schreiben von Code bietet.
Emacs ist in der Lage, E-Mail-Konten, Dateistrukturen und RSS-Feeds zu verwalten, was es zumindest theoretisch zu einem Ziel für Vandalen macht. Die Sicherheitslücke hing mit dem Enrich Text-Modus zusammen, und Entwickler berichten, dass sie erstmals mit der Veröffentlichung von Emacs 21.1 eingeführt wurde. In diesem Modus konnte der Lisp-Code in den Anzeigeeigenschaften nicht ausgewertet werden, um das Speichern dieser Eigenschaften mit dem Text zu ermöglichen.
Da Emacs die Auswertung von Formularen als Teil der Verarbeitung der Anzeigeeigenschaften unterstützt, kann der Editor durch Anzeigen dieser Art von angereichertem Text möglicherweise schädlichen Lisp-Code ausführen. Obwohl das Risiko dafür gering war, befürchteten die Entwickler von GNU, dass gefährlicher Code an eine angereicherte E-Mail-Nachricht angehängt werden könnte, die dann auf dem Computer des Empfängers ausgeführt wird.
Emacs 26.1 deaktiviert standardmäßig die Ausführung beliebiger Formulare in Anzeigeeigenschaften. Systemadministratoren, die diese kompromittierte Funktion dringend benötigen, können sie manuell aktivieren, wenn sie das Risiko verstehen.
Diejenigen mit älteren Versionen der bereits installierten Pakete müssen nicht aktualisiert werden, um die Sicherheitsupdates nutzen zu können. Laut der Nachrichtentextdatei emacs.git, die der neuesten Version der Software beiliegt, können Benutzer, die mit Versionen arbeiten, die auf 21.1 zurückgehen, eine einzelne Zeile an ihre .emacs-Konfigurationsdatei anhängen, um die Funktion zu deaktivieren, die das Problem verursacht.
Aufgrund der Funktionsweise von Unix- und Linux-Sicherheitsschemata war es unwahrscheinlich, dass Exploits im Zusammenhang mit dieser Sicherheitsanfälligkeit außerhalb des Home-Verzeichnisses eines Benutzers Schaden anrichten. Ein Exploit hätte jedoch möglicherweise lokal gespeicherte Dokumente und Konfigurationsdateien hypothetisch ruinieren und schädliche E-Mail-Nachrichten senden können, wenn ein Benutzer Emacs mit einem E-Mail-Server verbunden hätte.
Stichworte Linux-Sicherheit
