امکان هک سیستم‌عامل لینوکس از طریق برنامه‌های ویرایشگر متن Vim و Neovim

یک نقص اجرای کد در دو برنامه کاربردی ویرایشگر متن Vim و Neovim شناسایی شده است. این آسیب‌پذیری توسط یک کارشناس امنیتی به نام “آرمین رزمجو” در نسخه قدیمی‌تر این دو اپلیکیشن کشف شد.

این کارشناس امنیتی، در توییتر خود اعلام کرد که این آسیب‌پذیری با شناسه CVE-2019-12735، در نتیجه وجود قابلیت “Modelines” در برنامه کاربردی Vim ایجاد شده است که می‌تواند مهاجمان را قادر سازد تا کد دلخواه را اجرا کرده و کنترل از راه دور سیستم‌های در خطر افتاده به‌دست آورند.

ویرایشگر Vim در سیستم‌های لینوکس به کاربران امکان می‌دهد که هر نوع فایلی را بسازند، ببینند و ویرایش کنند.

با توجه به اینکه Neovim نسخه پیشرفته‌تر ویرایشگر Vim است، این آسیب‌پذیری اجرای کد، برنامه کاربردی Neovim را نیز درگیر کرده است.

در نتیجه این نقص امنیتی، باز کردن یک فایل ساده با کمک Vim و Neovim به مهاجمان کمک می‌کند که به صورت مخفیانه فرمان‌ها را روی سیستم‌های لینوکس اجرا کرده و از راه دور، کنترل آنها را به دست بگیرند.

در حال حاضر، به‌روزرسانی‌هایی برای این دو برنامه کاربردی منتشر شده است و به کاربران توصیه شده هر چه سریع‌تر آنها را نصب کنند. علاوه بر این، به کاربران پیشنهاد می‌شود این موارد را نیز رعایت کنند:

• غیر‌فعال کردن قابلیت modelines
• غیر‌فعال کردن modelineexpr
• استفاده از افزونه securemodelines به عنوان جایگزینی ایمن برای Vim modelines