ActiveX в емакс потек

0

2

Тут давеча парень прибегал рассказать нам какой плохой и несвободный vs code.

Другой такой же мим, рассказывал, о страшных дополнениях в vs code.

Дополнение: Опубликован пример org-файла, открытие которого в Emacs вызывает выполнение shell-команд. Для эксплуатации уязвимости также можно прикрепить подобный файл к email и он будет выполнен при предпросмотре в Emacs.

   #+LINK: shell %(shell-command-to-string)
   [[shell:touch ~/hacked.txt]]

Отличие от vs code в том, что подобный скрипт будет выполняться не в песочнице, а в системе пользователя с правами пользователя.

Как и следовало ожидать, rm -rf ~/ в письме - для пользователей этой штуки - «это другое, понимать надо». А то чтобы запросить запуск левого скрипта с почты - это «ненужно».

Ссылка

←	Читаю я тут резюме ...

Критические уязвимости в Linux, Tor и Chromium: Безопасность открытого ПО под угрозой

→

Опубликован пример org-файла, открытие которого в Emacs вызывает выполнение shell-команд

Удивительное дело, загрузка кода в интерпретатор вызывает выполнение кода! Как страшно жить!

Для тех кто в бронепоезде, это так специально задумано. Более того, в этом суть org mode.

no-such-file ★★★★★
(27.06.24 14:37:33 MSK)
Последнее исправление: no-such-file 27.06.24 14:38:50 MSK (всего исправлений: 1)

Ответ на: комментарий от no-such-file 27.06.24 14:37:33 MSK

Хреново задумано. В том же dir-locals сделано так, что там нельзя вставить произвольное выражение, если проект не в safe paths. Вот тут ожидается так же. А вообще, в имаксе таких уязвимостей вагон будет, если поискать. Особенно в сторонних расширениях, которые все так же ставят из melpa без разбора.

snizovtsev ★★★★★
(27.06.24 14:40:39 MSK)
Последнее исправление: snizovtsev 27.06.24 14:40:52 MSK (всего исправлений: 1)

Отличие от vs code в том, что подобный скрип будет выполняться не в песочнице, а в системе пользователя с правами пользователя.

Запускать emacs в bubblewrap/firejail
Вообще весь софт надо в песочницах держать
Инструменты есть, просто никто это массово не хочет делать

Kolins ★★★★
(27.06.24 14:48:34 MSK)

Ссылка

Ответ на: комментарий от snizovtsev 27.06.24 14:40:39 MSK

В том же dir-locals

dir-locals загружается автоматически. А org-файл это документ который нужно явно загрузить руками. И да, исполнение кода в emacs, или шелле это фича.

no-such-file ★★★★★
(27.06.24 14:54:06 MSK)

Ссылка

Ответ на: комментарий от snizovtsev 27.06.24 14:40:39 MSK

Хреново задумано.

Да нет, норм. Запуск кода для генерации части документа – это буквально фича Org Mode.

Особенно в сторонних расширениях, которые все так же ставят из melpa без разбора.

Melpa курируется. Туда абы какой код не попадает. С тем же успехом, можешь предъявить пользователям какого-нибудь Debian что они из репозитариев ставят всё без разбора.

hateyoufeel ★★★★★
(27.06.24 15:02:03 MSK)
Последнее исправление: hateyoufeel 27.06.24 15:02:30 MSK (всего исправлений: 1)

Ответ на: комментарий от no-such-file 27.06.24 14:37:33 MSK

Для тех кто в бронепоезде, это так специально задумано

Чтобы открытие почтового аттача код выполняло? Браво. Пожалуйста, больше не проектируйте ничего.

~~cumvillain~~
(27.06.24 15:14:37 MSK)
Последнее исправление: cumvillain 27.06.24 15:16:48 MSK (всего исправлений: 1)

Ссылка

Дырки в productnameA как-то оправдывают дырки в productnameB?

cobold ★★★★★
(27.06.24 15:20:40 MSK)

Ответ на: комментарий от cobold 27.06.24 15:20:40 MSK

Дырки в productnameA как-то оправдывают дырки в productnameB?

Тема не о «дырках», а о кривом дизайне emacs.

Ygor ★★★★★
(27.06.24 15:28:10 MSK) автор топика

Ссылка

Ответ на: комментарий от hateyoufeel 27.06.24 15:02:03 MSK

репозитариев

убиват

да, я знаю, что ты специально, толстенький

token_polyak ★★★★★
(27.06.24 15:30:55 MSK)

Ответ на: комментарий от token_polyak 27.06.24 15:30:55 MSK

Страдай

https://ru.m.wiktionary.org/wiki/%D1%80%D0%B5%D0%BF%D0%BE%D0%B7%D0%B8%D1%82%D0%B0%D1%80%D0%B8%D0%B9

hateyoufeel ★★★★★
(27.06.24 15:36:27 MSK)

Ответ на: комментарий от hateyoufeel 27.06.24 15:36:27 MSK

Да страдаю я, всё на месте.

token_polyak ★★★★★
(27.06.24 15:46:22 MSK)

Ссылка

Уязвимость в емаксе? Это не так страшно. Ведь вскод используется сотнями миллионов, а есакс… Ну вы поняли.

seiken ★★★★★
(27.06.24 17:43:53 MSK)

Ссылка

Зачем так сложно, можно и в .emacs дописать удаление хомячка при загрузке

yoghurt ★★★★★
(27.06.24 18:34:47 MSK)

Ответ на: комментарий от yoghurt 27.06.24 18:34:47 MSK

Типа запустил емакс и вот тебе жизнь с чистого листа. Что-то в этом есть

yoghurt ★★★★★
(27.06.24 18:36:17 MSK)

Что VSCode плохой я не писал ни разу. Что он несвободный это факт. Тебя этот факт обидел? Ну я тут не при делах. Но чтобы ты так сильно не расстраивался: прими мои извинения.

andalevor ★★★
(27.06.24 21:20:28 MSK)

Ссылка

Ответ на: комментарий от no-such-file 27.06.24 14:37:33 MSK

Посмотри, как жестко огорожены в виме modeline’ы.

t184256 ★★★★★
(27.06.24 23:06:23 MSK)

Ссылка

Ответ на: комментарий от yoghurt 27.06.24 18:36:17 MSK

Сначала проверить установлен ли vim, если да то сносить хомяк и создавать файл с текстом «подумай над жизнью еще раз».

James_Holden ★★★★
(28.06.24 07:26:26 MSK)

Ссылка

А тем временем свободный emacs

Заголовок по ссылке:

В GNU Emacs 29.4 устранена уязвимость, приводящая к выполнению кода при открытии специально оформленного файла

Вот потому, что свободный, поиск и устранение подобных уязвимостей облегчается.

Кстати, я бы это даже как новость подтвердил. Но для этого, конечно же, нужно было бы убрать всю клоунаду из заголовка и текста, в твои планы это, конечно, не входило. Тяжело быть вендотроллем, наверное.

hobbit ★★★★★
(28.06.24 09:48:56 MSK)

Ссылка

подобный скрипт будет выполняться не в песочнице, а в системе пользователя

Ой, ужас-ужас. Волна взломов прокатилась по планете, пострадало от семи до тринадцати систем, эксперты все еще подсчитывают урон, нанесенный мировой экономике.

thesis ★★★★★
(28.06.24 10:22:42 MSK)