多款流行文本编辑器存在特权升级漏洞

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

      据外媒 3 月 16 日报道,在最近一系列利用漏洞插件的攻击之后,SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限,并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器(Sublime、Vim、Emacs、Gedit、pico / nano)。经过研究发现,除 pico / nano 之外,所有受检查的编辑器都受到了一个关键的特权升级漏洞影响,攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。

据悉,大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能,以此其增大攻击面。 研究人员认为这种情况非常严重,因为第三方插件可能会受到关键的特权升级漏洞影响,波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。

目前该漏洞被认为与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。

emacs-text-editors

      SafeBreach 的研究表明,这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式,并且无论编辑器中是否打开了文件,使用这种方式来获得提升都能成功,即使是在 sudo 命令中运用常用的限制也可能无法阻止。

      因此 SafeBreach 提供了的一些缓解措施:

• 实施 OSEC 监督规则

• 拒绝为非提升用户编写权限

• 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。

• 在编辑器升级时阻止加载第三方插件

• 提供一个手动界面来批准提升的插件加载

消息来源:Security Affairs.

转自 HackerNews.cc

标签: linux 代码 漏洞 权限 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:Palo Alto Networks推出Traps高级端点防护更新版本Traps 5.0

下一篇:针对Windows Server、Redis 及Apache Solr服务器的恶意活动