LINUX.ORG.RU

Emacs


180

4

Всего сообщений: 827

GNU Emacs 25.3 с устранением давней уязвимости, позволяющей файлу (письму) исполнять любой код

Группа Безопасность

Представлен экстренный выпуск GNU Emacs 25.3, устраняющий уязвимость в enriched-mode, позволяющую злоумышленнику сформировать файл (к примеру, электронное письмо), при отображении которого в Emacs будет исполнен произвольный код.

Уязвимости подвержены все версии, начиная с 19.29.

Не желающие обновляться могут просто занулить уязвимую функцию, отключив таким образом поддержку text/enriched:

(eval-after-load "enriched"
  '(defun enriched-decode-display-prop (start end &optional param)
     (list start end)))

(добавить в инициализационный файл)

text/enriched — альтернативный HTML и ныне едва ли кем используемый SGML-подобный формат, описанный в RFC 1896, и предназначавшийся в первую очередь именно для разметки электронных писем.

>>> Дифф

>>> Источник

 , ,

Zmicier ()

Еще новости

Сентябрь 2017

2017

2016

2015

2014

2013

2012

2011

2010

Опросы

Ноябрь 2017

2016

2015

1999

Галерея

Форум

Май 2018

Апрель 2018

Март 2018

Март 2018

Февраль 2018

Январь 2018