GNU / Fondation du logiciel libre
Les développeurs GNU ont annoncé aujourd'hui que la sortie d'Emacs 26.1 a resserré une faille de sécurité dans le vénérable éditeur de texte Unix et Linux vieux de près de 42 ans. Bien qu'il puisse sembler étrange aux non-initiés qu'un éditeur de texte nécessite des mises à jour de sécurité, les fans d'Emacs ne tarderont pas à souligner que l'application fait bien plus que fournir un écran vide pour écrire du code.
Emacs est capable de gérer les comptes de messagerie, les structures de fichiers et les flux RSS, ce qui en fait une cible pour les vandales au moins en théorie. La vulnérabilité de sécurité était liée au mode Enrichir le texte, et les développeurs rapportent qu'elle a été introduite pour la première fois avec la sortie d'Emacs 21.1. Ce mode n'a pas réussi à évaluer le code Lisp dans les propriétés d'affichage pour permettre l'enregistrement de ces propriétés avec le texte.
Étant donné qu'Emacs prend en charge l'évaluation des formulaires dans le cadre du traitement des propriétés d'affichage, l'affichage de ce type de texte enrichi pourrait permettre à l'éditeur d'exécuter du code Lisp malveillant. Bien que le risque que cela se produise était faible, les développeurs de GNU craignaient qu'un code dangereux puisse être joint à un e-mail enrichi qui s'exécuterait ensuite sur la machine du destinataire.
Emacs 26.1 désactive l'exécution arbitraire de formulaire dans les propriétés d'affichage par défaut. Les administrateurs système qui ont un besoin urgent de cette fonctionnalité compromise peuvent l'activer manuellement s'ils comprennent le risque.
Les utilisateurs disposant d'anciennes versions des packages déjà installés n'ont pas besoin d'être mis à niveau pour profiter du correctif de sécurité. Selon le fichier texte de nouvelles emacs.git qui accompagne la dernière version du logiciel, les utilisateurs travaillant avec des versions remontant à 21.1 peuvent ajouter une seule ligne à leur fichier de configuration .emacs pour désactiver la fonctionnalité à l'origine du problème.
En raison du fonctionnement des systèmes de sécurité Unix et Linux, les exploits liés à cette vulnérabilité n’auraient probablement pas causé de dommages en dehors du répertoire personnel d’un utilisateur. Cependant, un exploit aurait pu hypothétiquement ruiner des documents et des fichiers de configuration stockés localement et envoyé des e-mails malveillants si un utilisateur avait connecté emacs à un serveur de messagerie.
Mots clés Sécurité Linux
