GNU lanza Emacs 26.1 y tapona el agujero de seguridad relacionado con Lisp

GNU lanza Emacs 26.1 y tapona el agujero de seguridad relacionado con Lisp

Linux-Unix / GNU lanza Emacs 26.1 y tapona el agujero de seguridad relacionado con Lisp 1 minuto de lectura Logotipo de GNU Emacs

Fundación GNU / Software Libre

Los desarrolladores de GNU anunciaron hoy que el lanzamiento de Emacs 26.1 cerró un agujero de seguridad en el venerable editor de texto Unix y Linux de casi 42 años. Si bien puede parecer extraño para los no iniciados que un editor de texto requiera actualizaciones de seguridad, los fanáticos de Emacs señalarán rápidamente que la aplicación hace mucho más que proporcionar una pantalla en blanco para escribir código.

Emacs es capaz de administrar cuentas de correo electrónico, estructuras de archivos y feeds RSS, por lo que es un objetivo para los vándalos, al menos en teoría. La vulnerabilidad de seguridad estaba relacionada con el modo Enrich Text, y los desarrolladores informan que se introdujo por primera vez con el lanzamiento de Emacs 21.1. Este modo no pudo evaluar el código Lisp en las propiedades de visualización para permitir guardar estas propiedades con el texto.



Dado que Emacs admite la evaluación de formularios como parte del procesamiento de las propiedades de visualización, mostrar este tipo de texto enriquecido podría permitir que el editor ejecute código Lisp malicioso. Si bien el riesgo de que esto sucediera era bajo, los desarrolladores de GNU temían que se pudiera adjuntar un código peligroso a un mensaje de correo electrónico enriquecido que luego se ejecutaría en la máquina del destinatario.

Emacs 26.1 deshabilita la ejecución de formularios arbitrarios en las propiedades de visualización de forma predeterminada. Los administradores del sistema que tengan una necesidad urgente de esta función comprometida pueden habilitarla manualmente si comprenden el riesgo.

Aquellos con versiones anteriores de los paquetes ya instalados no necesitan actualizar para aprovechar la solución de seguridad. De acuerdo con el archivo de texto de noticias emacs.git que acompaña a la versión más reciente del software, los usuarios que trabajan con versiones que se remontan a la 21.1 pueden agregar una sola línea a su archivo de configuración .emacs para deshabilitar la función que causa el problema.

Debido a la forma en que funcionan los esquemas de seguridad de Unix y Linux, es poco probable que los exploits relacionados con esta vulnerabilidad causen daños fuera del directorio de inicio de un usuario. Sin embargo, un exploit podría haber arruinado hipotéticamente documentos y archivos de configuración almacenados localmente, así como haber enviado mensajes de correo electrónico maliciosos si un usuario tenía emacs conectado a un servidor de correo electrónico.

Etiquetas Seguridad de Linux