OpenForum RSS: Уязвимость в Vim, приводящая к выполнению кода при открытии ... https://www.opennet.dev/openforum/vsluhforumID3/117609.html В текстовых редакторах Vim (https://www.vim.org/) и Neovim (https://neovim.io/) найдена уязвимость (https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md) (CVE-2019-12735 (https://security-tracker.debian.org/tracker/CVE-2019-12735)), позволяющая выполнить произвольный код при открытии специально оформленного файла. Проблема проявляется при активности включенного по умолчанию режима modeline (":set modeline"), который позволяет определить в обрабатываемом файле опции редактирования. Уязвимость устранена в выпусках <br>Vim 8.1.1365 (https://github.com/vim/vim/commit/5357552) и Neovim 0.3.6 (https://github.com/neovim/neovim/pull/10082).<br><br><br>Через modeline допускается установка только ограниченного числа опций. Если в качестве значения опции указывается выражение, то оно выполняется в режиме sandbox, допускающем применение только простейших безопасных операций. При этом в число допустимых входит команда ":source", в которой можно использовать модификатор "!" для запуска произвольных к Уязвимость в Vim, приводящая к выполнению кода при открытии ... (пох.) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#59 Wed, 19 Jun 2019 14:05:30 GMT у _старых_ opensuse та же фигня:<br>" Changed default required by SuSE security team--be aware if enabling this<br>" that it potentially can open for malicious users to do harmful things.<br>set nomodeline<br><br>но ведь модные-современные без фигни жить не могут, так что в ляпах, наверное, уже удалено.<br><br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (burjui) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#58 Sat, 15 Jun 2019 12:52:24 GMT Более позитивный заголовок: "Vim научился открывать вредоносные файлы".<br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (Junior frontend developer) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#57 Fri, 14 Jun 2019 22:18:21 GMT Если все равно через задницу работает, почему же не вим сразу? Кто эти люди, которым не впадлу изучать нано?<br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (АнонимГоним) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#56 Fri, 14 Jun 2019 13:37:54 GMT При этом бибикая в дьявольской тональности.<br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (Ананнимас) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#55 Fri, 14 Jun 2019 09:30:01 GMT mcedit лне себе дружит. по-крайней мере с русскими буквами.<br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (Лапчатый девляпс бубунтёнак) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#54 Fri, 14 Jun 2019 06:42:55 GMT Тогда можешь повторить ещё раз...<br><br>Просто мне, как человеку, активно пользовавшемуся некрософт-вантузом где-то с 2003 по 2007 год, немножко странно читать твой бреад.<br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#53 Fri, 14 Jun 2019 04:47:23 GMT Нее... mceditor и ee слишком продвинуты.<br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (Ганделябры) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#52 Thu, 13 Jun 2019 15:48:25 GMT Ещё раз повторяю, никакого windows сообщества не существует. Это как если бы было сообщество едящих ртом или слушающих ушами.<br> Уязвимость в Vim, приводящая к выполнению кода при открытии ... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/117609.html#51 Thu, 13 Jun 2019 15:34:25 GMT Не каждый редактор может похвастаться таким количеством хейтеров. Vim и тут превосходен!<br>