یک نقص اجرای کد در دو برنامه کاربردی ویرایشگر متن Vim و Neovim شناسایی شده است. این آسیبپذیری توسط یک کارشناس امنیتی به نام “آرمین رزمجو” در نسخه قدیمیتر این دو اپلیکیشن کشف شد.
این کارشناس امنیتی، در توییتر خود اعلام کرد که این آسیبپذیری با شناسه CVE-2019-12735، در نتیجه وجود قابلیت “Modelines” در برنامه کاربردی Vim ایجاد شده است که میتواند مهاجمان را قادر سازد تا کد دلخواه را اجرا کرده و کنترل از راه دور سیستمهای در خطر افتاده بهدست آورند.
ویرایشگر Vim در سیستمهای لینوکس به کاربران امکان میدهد که هر نوع فایلی را بسازند، ببینند و ویرایش کنند.
با توجه به اینکه Neovim نسخه پیشرفتهتر ویرایشگر Vim است، این آسیبپذیری اجرای کد، برنامه کاربردی Neovim را نیز درگیر کرده است.
در نتیجه این نقص امنیتی، باز کردن یک فایل ساده با کمک Vim و Neovim به مهاجمان کمک میکند که به صورت مخفیانه فرمانها را روی سیستمهای لینوکس اجرا کرده و از راه دور، کنترل آنها را به دست بگیرند.
در حال حاضر، بهروزرسانیهایی برای این دو برنامه کاربردی منتشر شده است و به کاربران توصیه شده هر چه سریعتر آنها را نصب کنند. علاوه بر این، به کاربران پیشنهاد میشود این موارد را نیز رعایت کنند:
- غیرفعال کردن قابلیت modelines
- غیرفعال کردن modelineexpr
- استفاده از افزونه securemodelines به عنوان جایگزینی ایمن برای Vim modelines