Sicherheitslücke: VIM-Modelines erlauben Codeausführung

Im Texteditor VIM wurde eine Sicherheitslücke gefunden, bei der ein speziell präpariertes Dokument Code ausführen kann. Die dafür genutzte Funktion der Modelines ist nur auf manchen Systemen aktiv.

Artikel veröffentlicht am ,
Nicht unbedingt der Ort, an dem man eine Sicherheitslücke erwartet: der Editor VIM.
Nicht unbedingt der Ort, an dem man eine Sicherheitslücke erwartet: der Editor VIM. (Bild: VIM-Logo + Quellcode)

Texteditoren gehören nicht gerade zu den Tools, bei denen man gravierende Sicherheitslücken erwartet. Doch ein Sicherheitsforscher hat jetzt im Texteditor VIM eine Lücke entdeckt, bei der mittels sogenannter Modelines eine Codeausführung erreicht werden kann. Der VIM-Fork Neovim ist ebenfalls betroffen.

Stellenmarkt
  1. Assistent (m/w/d) des Vorstands
    Württembergische Versicherung AG, Stuttgart
  2. Software Engineer (m/w/d) im Bereich Service Operations
    ASCon Systems GmbH, Stuttgart, München, Mainz
Detailsuche

Die Modelines ermöglichen es, in einem Textdokument bestimmte Einstellungen für das Editieren des jeweiligen Dokuments zu definieren. Somit kann man den Editor für jedes Dokument separat konfigurieren.

Sandbox ausgetrickst

Die Möglichkeiten sind dabei sehr vielfältig und es gibt zahlreiche gefährliche Optionen, die teilweise in einer Art Sandbox ausgeführt werden. Doch die Sandbox ließ sich austricksen. Der Bericht des Sicherheitsforschers listet mehrere Beispiele auf, wie man mittels der Modelines Kommandozeilenbefehle ausführen kann.

Dass die Modelines gefährlich sein können, war schon vorher bekannt. Manche Linux-Distributionen liefern daher VIM mit einer Konfiguration aus, die die Modelines abschaltet. Gesteuert werden kann das über das Kommando "set nomodelines" in der vimrc-Datei. Setzt man diese Konfigurationsoption nicht sind die Modelines jedoch aktiv und der Angriff ist möglich.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
Weitere IT-Trainings

Der Fehler wurde in VIM Version 8.1.365 behoben, in Neovim ist der Fix in Version 0.3.6.

Auch für Notepad steht ein Sicherheitsupdate an

VIM ist übrigens nicht der einzige Editor, in dem gerade eine Sicherheitslücke gefunden wurde. Google-Mitarbeiter Tavis Ormandy schrieb vor einigen Tagen auf Twitter, dass er im Windows-Editor Notepad eine Memory-Corruption-Lücke gefunden habe. Details dazu sind bisher nicht bekannt. Nach den Richtlinien von Google's Project Zero, für das Ormandy arbeitet, hat der Hersteller Microsoft 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 wohl am 19.01. bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /