O sistema operacional Linux conta com uma vulnerabilidade nos editores de comando Vim e NeoVim, afirma o pesquisador de segurança Armin Razmjou. A vulnerabilidade permite a execução de comandos (CVE-2019-12735) nos programas que chegam pré-instaladas com o Linux.
As aplicações funcionam da seguinte maneira: o Vim permite que o usuário crie, visualize ou edite qualquer arquivo. Já o Nevim é uma versão estendida que fornece uma melhor experiência de usuário, além de plugins e GUIs.
Como nota o pesquisador Razmjou, a vulnerabilidade reside na maneira que o Vim “gerencia modelines [linhas de configuração]”. Esse recurso chega ativo automaticamente nos apps e pode ser facilmente quebrado, junto com a proteção sandbox, por meio do comando “:source:!”. “O Vim versão 8.1.1365 e anteriores, e o Neovim versão 0.3.6 e anteriores são vulneráveis a execução de código arbitrário via modelines abrindo um arquivo de texto especialmente criado.
Vítima esquerda x hacker direita
Para quem conferir todos os detalhes da vulnerabilidade, basta ir até o Github do pesquisador.
- Já para se proteger, basta atualizar o Vim e o Neovim, que já contam com patches de segurança para impedir esta vulnerabilidade de ser explorada
Categorias
