当前位置:主页>资 讯>安全动态>

Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

据外媒 3 月 16 日报道,在最近一系列利用漏洞插件的攻击之后,SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限,并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器(Sublime、Vim、Emacs、Gedit、pico / nano)。经过研究发现,除 pico / nano 之外,所有受检查的编辑器都受到了一个关键的特权升级漏洞影响,攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。

据悉,大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能,以此其增大攻击面。 研究人员认为这种情况非常严重,因为第三方插件可能会受到关键的特权升级漏洞影响,波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。

目前该漏洞被认为与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。

SafeBreach 的研究表明,这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式,并且无论编辑器中是否打开了文件,使用这种方式来获得提升都能成功,即使是在 sudo 命令中运用常用的限制也可能无法阻止。

因此 SafeBreach 提供了的一些缓解措施:

○ 实施 OSEC 监督规则

○ 拒绝为非提升用户编写权限

○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。

○ 在编辑器升级时阻止加载第三方插件

○ 提供一个手动界面来批准提升的插件加载

(责任编辑:冬天的宇)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

微软承认汇总更新 KB4088875 存在问题 临时

微软承认汇总更新 KB4088875 存在问题 临时解决方案公布

几天前,微软面向 Windows 7 SP1 和 Windows Server 2008 R2 SP1 发布的 3 月汇总更新...[详细]

Sublime、Vim 等多款流行文本编辑器存在特

全球数百家组织机构遭Qrypter RAT攻击

Pwn2Own 2018:黑客成功入侵 Safari 浏览器

14%的App可监听电话 手机厂商如何做好隐私

返回首页 返回顶部