GNU / Free Software Foundation
Os desenvolvedores GNU anunciaram hoje que o lançamento do Emacs 26.1 estreitou uma brecha de segurança no venerável editor de texto Unix e Linux de quase 42 anos. Embora possa parecer estranho para os não iniciados que um editor de texto exija atualizações de segurança, os fãs do Emacs serão rápidos em apontar que o aplicativo faz muito mais do que fornecer uma tela em branco para escrever o código.
O Emacs é capaz de gerenciar contas de e-mail, estruturas de arquivos e feeds RSS, tornando-se um alvo para vândalos, pelo menos em teoria. A vulnerabilidade de segurança estava relacionada ao modo Enrich Text, e os desenvolvedores relatam que ela foi introduzida pela primeira vez com o lançamento do Emacs 21.1. Este modo falhou ao avaliar o código Lisp nas propriedades de exibição para permitir salvar essas propriedades com o texto.
Como o Emacs suporta a avaliação de formulários como parte do processamento das propriedades de exibição, exibir esse tipo de Texto enriquecido pode permitir que o editor execute código Lisp malicioso. Embora o risco de isso acontecer fosse baixo, os desenvolvedores do GNU temiam que um código perigoso pudesse ser anexado a uma mensagem de e-mail enriquecida que seria então executada na máquina do destinatário.
O Emacs 26.1 desabilita a execução de formulário arbitrário nas propriedades de exibição por padrão. Os administradores de sistema que têm uma necessidade urgente desse recurso comprometido podem ativá-lo manualmente se entenderem o risco.
Aqueles com versões mais antigas dos pacotes já instalados não precisam atualizar para aproveitar a correção de segurança. De acordo com o arquivo de texto de notícias emacs.git que acompanha a versão mais recente do software, os usuários que trabalham com versões anteriores a 21.1 podem acrescentar uma única linha ao arquivo de configuração .emacs para desativar o recurso que causa o problema.
Devido à maneira como os esquemas de segurança do Unix e do Linux funcionam, é improvável que os exploits relacionados a esta vulnerabilidade causem danos fora do diretório inicial do usuário. No entanto, um exploit poderia ter hipoteticamente arruinado documentos e arquivos de configuração armazenados localmente, bem como enviado mensagens de email maliciosas se um usuário tivesse o emacs conectado a um servidor de email.
Tag Segurança Linux
