Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

GNU Emacs, versions 22.x.

Résumé

Une erreur dans le traitement de certains fichiers permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Une erreur de traitement dans la fonction hack-local-variables est exploitable par un utilisateur malveillant pour modifier le fichier user-init-file d'un utilisateur et ensuite exécuter du code Lisp pour Emacs.

La vulnérabilité n'est exploitable que si le paramètre enable-local-variables est positionné à :safe.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation