Vim 和 NeoVim 曝出了一個(gè)允許任意代碼執(zhí)行的高危漏洞���。漏洞編號(hào) CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影響��。
漏洞位于編輯器的 modelines 功能中�����,該功能允許用戶(hù)指定窗口大小和其它定制選項(xiàng)��,modelines 限制了沙盒內(nèi)可用的指令���,但安全研究員 Armin Razmjou 發(fā)現(xiàn) source! 指令會(huì)繞過(guò)這一保護(hù)。
因此如果用戶(hù)打開(kāi)一個(gè)惡意文本文件�����,攻擊者可以控制計(jì)算機(jī)����。漏洞利用需要編輯器啟用 modelines�,部分 Linux 發(fā)行版默認(rèn)啟用了該功能�����,而蘋(píng)果的 macOS 沒(méi)有默認(rèn)啟用���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
