O sistema
operacional Linux conta
com uma vulnerabilidade nos editores de comando Vim e NeoVim, afirma o
pesquisador de segurança Armin Razmjou. A vulnerabilidade permite a execução de
comandos (CVE-2019-12735) nos programas que chegam pré-instaladas com o Linux.
As aplicações funcionam da seguinte
maneira: o Vim permite que o usuário crie, visualize ou edite qualquer arquivo.
Já o Nevim é uma versão estendida que fornece uma melhor experiência de
usuário, além de plugins e GUIs.
Como nota o
pesquisador Razmjou, a vulnerabilidade reside na maneira que o Vim “gerencia
modelines [linhas de configuração]”.
Esse recurso chega
ativo automaticamente nos apps e pode ser facilmente quebrado, junto com a
proteção sandbox, por meio do comando “:source:!”. “O Vim versão 8.1.1365 e
anteriores, e o Neovim versão 0.3.6 e anteriores são vulneráveis a execução de
código arbitrário via modelines abrindo um arquivo de texto especialmente
criado.
Vítima
esquerda x hacker direita
Para quem
conferir todos os detalhes da vulnerabilidade, basta ir até o Github do pesquisador.
- Já para se
proteger, basta atualizar o Vim e o Neovim, que já contam com patches de
segurança para impedir esta vulnerabilidade de ser explorada
Fonte: Linux
Nenhum comentário:
Postar um comentário