Sicherheitslücke: VIM-Modelines erlauben Codeausführung

Im Texteditor VIM wurde eine Sicherheitslücke gefunden, bei der ein speziell präpariertes Dokument Code ausführen kann. Die dafür genutzte Funktion der Modelines ist nur auf manchen Systemen aktiv.

Artikel veröffentlicht am ,
Nicht unbedingt der Ort, an dem man eine Sicherheitslücke erwartet: der Editor VIM.
Nicht unbedingt der Ort, an dem man eine Sicherheitslücke erwartet: der Editor VIM. (Bild: VIM-Logo + Quellcode)

Texteditoren gehören nicht gerade zu den Tools, bei denen man gravierende Sicherheitslücken erwartet. Doch ein Sicherheitsforscher hat jetzt im Texteditor VIM eine Lücke entdeckt, bei der mittels sogenannter Modelines eine Codeausführung erreicht werden kann. Der VIM-Fork Neovim ist ebenfalls betroffen.

Die Modelines ermöglichen es, in einem Textdokument bestimmte Einstellungen für das Editieren des jeweiligen Dokuments zu definieren. Somit kann man den Editor für jedes Dokument separat konfigurieren.

Sandbox ausgetrickst

Die Möglichkeiten sind dabei sehr vielfältig und es gibt zahlreiche gefährliche Optionen, die teilweise in einer Art Sandbox ausgeführt werden. Doch die Sandbox ließ sich austricksen. Der Bericht des Sicherheitsforschers listet mehrere Beispiele auf, wie man mittels der Modelines Kommandozeilenbefehle ausführen kann.

Dass die Modelines gefährlich sein können, war schon vorher bekannt. Manche Linux-Distributionen liefern daher VIM mit einer Konfiguration aus, die die Modelines abschaltet. Gesteuert werden kann das über das Kommando "set nomodelines" in der vimrc-Datei. Setzt man diese Konfigurationsoption nicht sind die Modelines jedoch aktiv und der Angriff ist möglich.

Der Fehler wurde in VIM Version 8.1.365 behoben, in Neovim ist der Fix in Version 0.3.6.

Auch für Notepad steht ein Sicherheitsupdate an

VIM ist übrigens nicht der einzige Editor, in dem gerade eine Sicherheitslücke gefunden wurde. Google-Mitarbeiter Tavis Ormandy schrieb vor einigen Tagen auf Twitter, dass er im Windows-Editor Notepad eine Memory-Corruption-Lücke gefunden habe. Details dazu sind bisher nicht bekannt. Nach den Richtlinien von Google's Project Zero, für das Ormandy arbeitet, hat der Hersteller Microsoft 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


twothe 05. Jun 2019

strg-c-a-p-alt-i = Zeile neu formatieren und alle Fehler im Code beheben strg-c-a-p-shift...

iD0nTkn0w 05. Jun 2019

Mit securemodelines https://www.vim.org/scripts/script.php?script_id=1876 werden die...

hab (Golem.de) 05. Jun 2019

Oh, stimmt tatsächlich. Ich hatte auf meinem System in der Konfigurationsdatei einen...



Aktuell auf der Startseite von Golem.de
Apple M2 Max
Ist der kleinere Kühler im Macbook Pro 14 ein Nachteil?

Die neuen Macbooks sparen laut iFixit an der Kühlung. Wir haben getestet, ob das stimmt und wie sich das auf die Leistung des M2 Max auswirkt.
Eine Analyse von Oliver Nickel

Apple M2 Max: Ist der kleinere Kühler im Macbook Pro 14 ein Nachteil?
Artikel
  1. Streaming: Netflix droht bei unerlaubtem Kontensharing mit Sperrung
    Streaming
    Netflix droht bei unerlaubtem Kontensharing mit Sperrung

    Abonnenten von Netflix müssen sich in Deutschland darauf einstellen, dass das Konto gesperrt wird, falls es unerlaubt mit anderen geteilt wird.

  2. Pyka Pelican Cargo: Weltgrößtes autonomes Elektro-Frachtflugzeug vorstellt
    Pyka Pelican Cargo
    Weltgrößtes autonomes Elektro-Frachtflugzeug vorstellt

    Der Pyka Pelican Cargo soll das weltweit größte autonome elektrische Frachtflugzeug sein und 320 km weit fliegen können.

  3. Defektes Firmware-Update: Google macht Bluetooth-Kopplung bei Pixel Buds A kaputt
    Defektes Firmware-Update
    Google macht Bluetooth-Kopplung bei Pixel Buds A kaputt

    Obwohl Google weiß, dass das Firmware-Update für die Pixel Buds A einen Fehler hat, wird das Update weiterhin angeboten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 15% Extra-Rabatt auf Fernseher bei Otto • Roccat Kone Pro -56% • Xbox Series S + Dead Space 299,99€ • PCGH Cyber Week • MindStar: ASRock RX 7900 XT 949€ • AMD CPU kaufen, SW Jedi Survivor gratis dazu • Philips LED TV 65" 120 Hz Ambilight 999€ • KF DDR4-3600 32GB 91,89€ [Werbung]
    •  /