GNU Emacs 25.3 с устранением давней уязвимости, позволяющей файлу (письму) исполнять любой код
Представлен экстренный выпуск GNU Emacs 25.3, устраняющий уязвимость в enriched-mode, позволяющую злоумышленнику сформировать файл (к примеру, электронное письмо), при отображении которого в Emacs будет исполнен произвольный код.
Уязвимости подвержены все версии, начиная с 19.29.
Не желающие обновляться могут просто занулить уязвимую функцию, отключив таким образом поддержку text/enriched:
(eval-after-load "enriched"
'(defun enriched-decode-display-prop (start end &optional param)
(list start end)))
(добавить в инициализационный файл)
text/enriched — альтернативный HTML и ныне едва ли кем используемый SGML-подобный формат, описанный в RFC 1896, и предназначавшийся в первую очередь именно для разметки электронных писем.
>>> Дифф
>>> Источник
