Vim 和 NeoVim曝出了一個允許任意代碼執行的高危漏洞。漏洞編號CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影響。漏洞位于編輯器的 modelines 功能中,該功能允許用戶指定窗口大小和其它定制選項,modelines 限制了沙盒內可用的指令。
但安全研究員 Armin Razmjou發現source! 指令會繞過這一保護。因此如果用戶打開一個惡意文本文件,攻擊者可以控制計算機。
漏洞利用需要編輯器啟用 modelines,部分 Linux 發行版默認啟用了該功能,而蘋果的 macOS 沒有默認啟用。
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
Linux
+關注
關注
87文章
11295瀏覽量
209348 -
計算機
+關注
關注
19文章
7489瀏覽量
87868
原文標題:Vim 和 NeoVim 曝出高危漏洞
文章出處:【微信號:LinuxHub,微信公眾號:Linux愛好者】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
vim編輯器命令模式使用方法
Vim編輯器是一款功能強大的文本編輯器,廣泛應用于程序員和開發者的日常工作中。Vim編輯器擁有多種模式,其中命令模式(Command mode)是最基本的模式之一,它允許用戶執行各種命令來操作
vim編輯器如何使用
Vim編輯器是一個功能強大的文本編輯器,它基于Vi進行改進,并增加了許多新特性。Vim編輯器的使用主要涉及其不同的工作模式及相應操作。以下是Vim編輯器的基本使用方法: 一、Vim編輯
vim的操作方式有哪幾種
Vim(Vi IMproved)是一個功能強大的文本編輯器,它具有多種操作方式,包括命令模式、插入模式、可視模式等。 命令模式 命令模式是Vim的默認模式,用戶在啟動Vim時自動進入命令模式。在命令
vim的三種工作模式有哪些
Vim是一個功能強大的文本編輯器,它具有三種工作模式:普通模式、插入模式和命令行模式。以下是對這三種模式的介紹: 普通模式(Normal Mode) 普通模式是Vim的默認模式,當啟動Vim時,它會
vim的三種工作模式是什么?如何切換
Vim是一款功能強大的文本編輯器,它具有多種工作模式,以滿足不同用戶的需求。在Vim中,主要有三種工作模式:普通模式、插入模式和命令行模式。 普通模式(Normal Mode) 普通模式是Vim
嵌入式學習-Vim編輯器之Vim常用操作命令
1、系統終端常用的相關命令1)創建打開文件命令:vim filename我們可以通過以上命令創建一個新文件或者是打開已有文件進行編輯。已打開hello.c文件為例:elf@ubuntu:~/work
發表于 08-24 10:59
Vim編輯器之Vim常用操作命令
1、系統終端常用的相關命令1)創建打開文件命令:vim filename我們可以通過以上命令創建一個新文件或者是打開已有文件進行編輯。已打開hello.c文件為例:elf@ubuntu:~/work
發表于 08-23 09:21
常用編輯器之Vim編輯器
在Linux下我們對文本進行編輯,經常用到的編輯器就是Vi/Vim,Vi/Vim命令眾多,功能強大,是大多數Linux程序員選擇使用的編輯器。下面先簡單介紹Vim編輯器的安裝和工作模式,下一節介紹
發表于 08-22 09:48
英特爾修補90項漏洞,其中包括Neural Compressor高危缺陷
本次披露的問題主要集中在軟件層面,神經壓縮機中的一個漏洞被評為CVSS10.0的“滿點”分數,具有遠程提權和實施任意攻擊的能力。
GitHub存在高危漏洞,黑客可利用進行惡意軟件分發
據悉,該漏洞允許用戶在不存在的GitHub評論中上傳文件并創建下載鏈接,包括倉庫名和所有者信息。這種偽裝可能使受害者誤以為文件為合法資源。
LG智能電視被曝存四安全漏洞,影響超9萬臺設備
該漏洞利用了3000/3001端口上運行的服務,主要為智能手機提供PIN接入功能。Bitdefender指出,雖然這些漏洞應僅限局域網使用,但Shodan掃描顯示,約有91000臺潛在易受攻擊的LG設備。
HTTP / 2 協議存高危漏洞,可能引發拒絕服務攻擊
該漏洞圍繞著HTTP/2的配置缺陷展開,重點在于未能合理控制或者消除請求數據流中的CONTINUATION幀內容。這是一種延續報頭塊片段序列的技術,使得報頭塊能夠拆分到不同的幀中。
Cybellum汽車檢測平臺被曝漏洞,官方回復!全球汽車安全監管持續升級
(談思汽車訊)2月21日,有媒體報道稱,國外知名產品安全平臺Cybellum存在高危漏洞,由于該平臺被絕大多數的OEM、Tire1以及檢測機構廣泛用于固件安全檢測與管理,消息一經發布,即引發
曝傳音多發30%年終獎給員工 23年出貨量同比增長30.8%
曝傳音多發30%年終獎給員工 年底了,每個打工人的愿望都是希望能夠多拿年終獎,曝傳音多發30%年終獎給員工。 根據網絡曝出的消息顯示,傳音發布了年終獎的通知;在通知中傳音表示,員工年終
評論