LINUX.ORG.RU
ФорумTalks

ActiveX в емакс потек

 , ,


0

2

Тут давеча парень прибегал рассказать нам какой плохой и несвободный vs code.

Другой такой же мим, рассказывал, о страшных дополнениях в vs code.

А тем временем свободный emacs:

Дополнение: Опубликован пример org-файла, открытие которого в Emacs вызывает выполнение shell-команд. Для эксплуатации уязвимости также можно прикрепить подобный файл к email и он будет выполнен при предпросмотре в Emacs.

   #+LINK: shell %(shell-command-to-string)
   [[shell:touch ~/hacked.txt]]

Отличие от vs code в том, что подобный скрипт будет выполняться не в песочнице, а в системе пользователя с правами пользователя.

Как и следовало ожидать, rm -rf ~/ в письме - для пользователей этой штуки - «это другое, понимать надо». А то чтобы запросить запуск левого скрипта с почты - это «ненужно».

★★★★★

Последнее исправление: Ygor (всего исправлений: 2)

Опубликован пример org-файла, открытие которого в Emacs вызывает выполнение shell-команд

Удивительное дело, загрузка кода в интерпретатор вызывает выполнение кода! Как страшно жить!

Для тех кто в бронепоезде, это так специально задумано. Более того, в этом суть org mode.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 1)
Ответ на: комментарий от no-such-file

Хреново задумано. В том же dir-locals сделано так, что там нельзя вставить произвольное выражение, если проект не в safe paths. Вот тут ожидается так же. А вообще, в имаксе таких уязвимостей вагон будет, если поискать. Особенно в сторонних расширениях, которые все так же ставят из melpa без разбора.

snizovtsev ★★★★★
()
Последнее исправление: snizovtsev (всего исправлений: 1)

Отличие от vs code в том, что подобный скрип будет выполняться не в песочнице, а в системе пользователя с правами пользователя.

Запускать emacs в bubblewrap/firejail
Вообще весь софт надо в песочницах держать
Инструменты есть, просто никто это массово не хочет делать

Kolins ★★★★★
()
Ответ на: комментарий от snizovtsev

В том же dir-locals

dir-locals загружается автоматически. А org-файл это документ который нужно явно загрузить руками. И да, исполнение кода в emacs, или шелле это фича.

no-such-file ★★★★★
()
Ответ на: комментарий от snizovtsev

Хреново задумано.

Да нет, норм. Запуск кода для генерации части документа – это буквально фича Org Mode.

Особенно в сторонних расширениях, которые все так же ставят из melpa без разбора.

Melpa курируется. Туда абы какой код не попадает. С тем же успехом, можешь предъявить пользователям какого-нибудь Debian что они из репозитариев ставят всё без разбора.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от no-such-file

Для тех кто в бронепоезде, это так специально задумано

Чтобы открытие почтового аттача код выполняло? Браво. Пожалуйста, больше не проектируйте ничего.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cobold

Дырки в productnameA как-то оправдывают дырки в productnameB?

Тема не о «дырках», а о кривом дизайне emacs.

Ygor ★★★★★
() автор топика

Уязвимость в емаксе? Это не так страшно. Ведь вскод используется сотнями миллионов, а есакс… Ну вы поняли.

seiken ★★★★★
()

Зачем так сложно, можно и в .emacs дописать удаление хомячка при загрузке

yoghurt ★★★★★
()

Что VSCode плохой я не писал ни разу. Что он несвободный это факт. Тебя этот факт обидел? Ну я тут не при делах. Но чтобы ты так сильно не расстраивался: прими мои извинения.

andalevor ★★★
()
Ответ на: комментарий от no-such-file

Посмотри, как жестко огорожены в виме modeline’ы.

t184256 ★★★★★
()
Ответ на: комментарий от yoghurt

Сначала проверить установлен ли vim, если да то сносить хомяк и создавать файл с текстом «подумай над жизнью еще раз».

James_Holden ★★★★
()

А тем временем свободный emacs

Заголовок по ссылке:

В GNU Emacs 29.4 устранена уязвимость, приводящая к выполнению кода при открытии специально оформленного файла

Вот потому, что свободный, поиск и устранение подобных уязвимостей облегчается.

Кстати, я бы это даже как новость подтвердил. Но для этого, конечно же, нужно было бы убрать всю клоунаду из заголовка и текста, в твои планы это, конечно, не входило. Тяжело быть вендотроллем, наверное.

hobbit ★★★★★
()

подобный скрипт будет выполняться не в песочнице, а в системе пользователя

Ой, ужас-ужас. Волна взломов прокатилась по планете, пострадало от семи до тринадцати систем, эксперты все еще подсчитывают урон, нанесенный мировой экономике.

thesis ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)