Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-vim-modelines-erlauben-codeausfuehrung-1906-141710.html    Veröffentlicht: 05.06.2019 14:30    Kurz-URL: https://glm.io/141710

Sicherheitslücke

VIM-Modelines erlauben Codeausführung

Im Texteditor VIM wurde eine Sicherheitslücke gefunden, bei der ein speziell präpariertes Dokument Code ausführen kann. Die dafür genutzte Funktion der Modelines ist nur auf manchen Systemen aktiv.

Texteditoren gehören nicht gerade zu den Tools, bei denen man gravierende Sicherheitslücken erwartet. Doch ein Sicherheitsforscher hat jetzt im Texteditor VIM eine Lücke entdeckt, bei der mittels sogenannter Modelines eine Codeausführung erreicht werden kann. Der VIM-Fork Neovim ist ebenfalls betroffen.

Die Modelines ermöglichen es, in einem Textdokument bestimmte Einstellungen für das Editieren des jeweiligen Dokuments zu definieren. Somit kann man den Editor für jedes Dokument separat konfigurieren.

Sandbox ausgetrickst

Die Möglichkeiten sind dabei sehr vielfältig und es gibt zahlreiche gefährliche Optionen, die teilweise in einer Art Sandbox ausgeführt werden. Doch die Sandbox ließ sich austricksen. Der Bericht des Sicherheitsforschers listet mehrere Beispiele auf, wie man mittels der Modelines Kommandozeilenbefehle ausführen kann.

Dass die Modelines gefährlich sein können, war schon vorher bekannt. Manche Linux-Distributionen liefern daher VIM mit einer Konfiguration aus, die die Modelines abschaltet. Gesteuert werden kann das über das Kommando "set nomodelines" in der vimrc-Datei. Setzt man diese Konfigurationsoption nicht sind die Modelines jedoch aktiv und der Angriff ist möglich.

Der Fehler wurde in VIM Version 8.1.365 behoben, in Neovim ist der Fix in Version 0.3.6.

Auch für Notepad steht ein Sicherheitsupdate an

VIM ist übrigens nicht der einzige Editor, in dem gerade eine Sicherheitslücke gefunden wurde. Google-Mitarbeiter Tavis Ormandy schrieb vor einigen Tagen auf Twitter, dass er im Windows-Editor Notepad eine Memory-Corruption-Lücke gefunden habe. Details dazu sind bisher nicht bekannt. Nach den Richtlinien von Google's Project Zero, für das Ormandy arbeitet, hat der Hersteller Microsoft 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

 (hab)


Verwandte Artikel:
Sicherheitsupdate: Apple patcht Root-Exploits für fast alle Plattformen   
(24.01.2017, https://glm.io/125773 )
Microsoft: Paint bleibt und erhält Tastatursteuerung   
(16.05.2019, https://glm.io/141287 )
Android: Juni-Update beseitigt acht kritische Fehler   
(05.06.2019, https://glm.io/141696 )
Tor Hidden Services: Falsche Konfiguration von Apache-Servern verrät Nutzerdaten   
(03.02.2016, https://glm.io/118895 )
Exploit: Sicherheitslücke in Exim-Mailserver   
(04.06.2019, https://glm.io/141679 )

© 1997–2019 Golem.de, https://www.golem.de/