Jilicsanaan cusub ayaa lagu hagaajiyay tifaftirayaasha qoraalka horay loogu rakibay qaybinta kala duwan Linux ayaa la helay tifaftirayaasha qoraalka Vim iyo Neovim (CVE-2019-12735).
Cayayaanka laga helay tifaftireyaashan waxay u oggolaaneysaa haakarisku inay xakameeyaan kombiyuutarada markay isticmaaleyaashu furayaan feyl qoraal xun. Dhibaatada waxaa lagu muujiyey waxqabadka Modeline-ka oo awood u siinaya asal ahaan (": set modeline"), taas oo kuu oggolaaneysa inaad qeexdo xulashooyinka wax-beddelka ee faylka la shaqeynayo.
Vim iyo fargeeto NeoVim ah waxaa ku jiray cillad ku noolayd moodooyinka. Muuqaalkani wuxuu u oggolaanayaa dadka isticmaala inay caddeeyaan cabirka daaqadda iyo xulashooyinka kale ee gaarka u dhow bilowga ama dhammaadka faylka qoraalka.
Astaantan waxaa lagu xoojiyay qaab ahaan qaabab ka hor Vim 8.1.1365 Neovim 0.3.6 waxayna khuseysaa dhammaan noocyada feylka, oo ay ku jiraan faylasha .txt.
Ku saabsan u nuglaanta Vim
Iyadoo loo marayo Modeline, kaliya tiro kooban oo xulashooyin ah ayaa loo oggol yahay. SHaddii muujinta la qeexay inay tahay ikhtiyaar ikhtiyaar ah, waxay ku socotaa qaabka sanduuqa, oo u oggolaanaya kaliya howlaha ugu fudud ee nabdoon ee loo isticmaali karo.
Isla mar ahaantaana, amarka ": isha" waa mid ka mid ah kuwa la oggol yahay, ee aad ku isticmaali karto wax ka beddelaha "!" si aad uga maamusho amarrada sharci darrada ah faylka cayiman.
Sidaa darteed, si loo fuliyo koodhka, waa ku filan tahay in lagu muujiyo xariiqa moodeelka dhismaha qaabka "set foldexpr = execute ('\: source! Some_file'):". Neovim, wicitaanka dilka waa mamnuuc, laakiin taa bedelkeeda waa la isticmaali karaa.
Dhinaca kale, sanduuqa ciidda, waxaa loogu talagalay in looga hortago dhibaatooyinka soo raaca:
Fursadaha 'foldexpr', 'formatexpr', 'inkluxeexpr', 'indentexpr', 'statusline' iyo 'foldtext' dhammaantood waxaa lagu qiimeyn karaa sanduuqa ciidda. Tan macnaheedu waxa weeye in lagaa ilaaliyo tibaaxahaas oo leh waxyeelooyin aan fiicnayn. Tani waxay bixisaa xoogaa nabadgelyo ah marka xulashooyinkaan laga qeexayo tusaale.
Inkasta oo moodooyinka ay xaddidayaan amarrada la heli karo ayna ku fuliyaan jawi ka go'doonsan nidaamka hawlgalka, cilmi-baare Armin Razmjou wuxuu xusay in amarka: font! hareereeyay ilaalintan:
"Waxay akhridaa oo ay fulisaa amarrada ku jira feyl la siiyay sidii iyadoo gacanta lagu geliyay, iyadoo fulineysa mar haddii sandbox-ka la daayay," ayuu cilmibaaraha ku qoray fariin la daabacay horraantii bishan. -ci.
Marka, qofku si fudud ayuu u dhisi karaa khad muunad ah oo fuliya koodhka ka baxsan sanduuqa ciidda.
Boostada waxaa ku jira laba feylal qoraal-caddeyn ah, mid ka mid ah kaas oo si garaaf ah u muujinaya halista.
Midkood ayaa ka furaya qolof gadaal ah kombiyuutarka socda Vim ama NeoVim. Halkaas, weeraryahannadu waxay ku bilaabi karaan amarrada ay doorteen mashiinka loo baahan yahay.
"PoC-kani wuxuu qeexayaa qaab weerar dhab ah kaas oo qolof gadaal laga soo saaro marka isticmaalaha uu furo faylka," ayuu qoray Razmjou. «Si loo qariyo weerarka, faylka isla markiiba dib ayaa loo qori doonaa markii la furo. Sidoo kale, PoC waxay isticmaashaa taxane baxsad ah si ay u qariso xariiqa moodeelka markii waxyaabaha ku daabacan bisad. (bisad -v waxay muujineysaa waxa dhabta ah). «
U nuglaanta fulinta amarka wuxuu u baahan yahay firfircoonaan ku shaqeynta qaabeynta tusaalaha ah, sida qaar ka mid ah qaybinta Linux si caadi ah. Ciladda waxaa laga helay Vim ka hor intaan la helin nooca 8.1.1365 iyo Neovim ka hor inta aan la helin nooca 0.3.6.
La talintaan ka timid Macluumaadka Nuglaanshaha Qaranka ee Machadka Qaranka ee Heerarka iyo Teknolojiyada waxay muujineysaa in qeybinta Debian iyo Fedora Linux ay bilaabeen inay sii daayaan noocyo go'an.
Qaybinta, dhibaatada ayaa lagu xaliyay RHEL, SUSE / openSUSE, Fedora, FreeBSD, Ubuntu, Arch Linux, iyo ALT.
Jilicsanaanta ayaa wali aan lagu sifeyn Debian (Debian modeline ahaan waa lagu naafoobayaa markii hore, markaa u nuglaanta kuma muuqanayso xaaladdii caadiga ahayd).
Nooca ugu dambeeya ee MacOS ayaa sii wadaya adeegsiga nooc nugul, in kasta oo weerarradu ay shaqeeyaan oo keliya marka adeegsadayaashu beddeleen hab dejin ah oo leh qaababka muuqaalka moodelku karti u leeyahay.