SublimeVim 等多款流行文本编辑器存在特权升级漏洞
Posted 看雪学院
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SublimeVim 等多款流行文本编辑器存在特权升级漏洞相关的知识,希望对你有一定的参考价值。
在最近一系列利用漏洞插件的攻击之后,SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限,并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器(Sublime、Vim、Emacs、Gedit、pico / nano)。经过研究发现,除 pico / nano 之外,所有受检查的编辑器都受到了一个关键的特权升级漏洞影响,攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。
据悉,大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能,以此其增大攻击面。 研究人员认为这种情况非常严重,因为第三方插件可能会受到关键的特权升级漏洞影响,波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。
目前该漏洞被认为与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。
SafeBreach 的研究表明,这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式,并且无论编辑器中是否打开了文件,使用这种方式来获得提升都能成功,即使是在 sudo 命令中运用常用的限制也可能无法阻止。
因此 SafeBreach 提供了的一些缓解措施:
○ 实施 OSEC 监督规则
○ 拒绝为非提升用户编写权限
○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。
○ 在编辑器升级时阻止加载第三方插件
○ 提供一个手动界面来批准提升的插件加载
来源:hackernews
往期热门内容推荐
更多安全资讯,戳左下角“阅读原文”查看!
以上是关于SublimeVim 等多款流行文本编辑器存在特权升级漏洞的主要内容,如果未能解决你的问题,请参考以下文章
搭载第四代自研神龙架构 阿里云发布RDMA增强型实例等多款新品
极客日报第121期:抖音等多款软件涉代码抄袭,字节跳动被诉赔22.74亿元;iPhone12系统更新后性能退回3年前;Qt 6.1正式发布
抖音等多款软件涉代码抄袭,字节跳动被诉赔22.74亿元;iPhone12系统更新后性能退回3年前;Qt 6.1正式发布|极客头条...