ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → Sublime发现漏洞:可利用Sublime文本编辑器插件提升到系统权限

Sublime发现漏洞:可利用Sublime文本编辑器插件提升到系统权限

时间:2018-03-23 00:00:00人气:作者:本站作者我要评论

我在编程时使用了Sublime,因为它包含了一些有用的工具,如每个高级文本编辑器都应该具有的“语法高亮”和“自动完成”。

Sublime发现漏洞:可利用Sublime文本编辑器插件提升到系统权限

此外,这些高级文本编辑器还为用户提供可扩展性,允许用户安装和运行第三方插件来扩展编辑器的功能,最重要的是扩展其使用范围。

然而,众所周知,第三方插件都有可能带来严重的黑客攻击风险,无论是WordPress插件还是Windows对Chrome,Firefox或Photoshop 的扩展。

SafeBreach的研究员Dor Azouri分析了Unix和Linux系统的几种流行的可扩展文本编辑器,发现除pico / nano之外,所有这些编辑器都受到严重提权漏洞的影响。经过测试的编辑包括:Sublime,Vim,Emacs,Gedit,pico / nano。

Sublime发现漏洞:可利用Sublime文本编辑器插件提升到系统权限

攻击者可以利用这个漏洞,在使用易受攻击的文本编辑器的受害者机器上运行恶意代码。“无论是否在编辑器中打开文件,这种方法都会成功,所以即使是 sudo 命令通常使用的限制也可能无法保护它,” 该公司发表的论文中写道。 “技术用户偶尔需要编辑根文件,为此,他们将使用’ sudo ‘ 以提升的权限打开他们的编辑器。有很多有效的理由来提升编辑的特权。“

该漏洞与这些文本编辑器加载插件的方式有关,因为它们在加载插件时没有正确分离常规模式和高级模式。具有常规用户权限的攻击者可以访问文件夹权限,以提升其权限并在用户机器上执行任意代码。Azouri建议Unix用户使用一个名为OSSEC的开源的基于主机的入侵检测系统 。当然,用户应该避免在编辑器升级时加载第三方插件,并且拒绝非升级用户的写入权限。

关于这个问题,安全专家给出了几点建议:

实施OSEC监督规则

拒绝为非提升用户编写权限

更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离

在编辑器升级时阻止加载第三方插件

提供一个手动界面来批准以高级模式加在插件

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网