Комментарии 8
В предустановленных на многих дистрибутивах Linux версиях Vim и NeoVim найдена критическая уязвимость, которая позволяет злоумышленнику получить контроль над компьютером жертвы, если она откроет заражённый текстовый файл.
Интересно а что думают по этому поводу наши импортозамещатели (и не выговоришь)?
Я что-то не слышал, чтобы они исправляли плюхи или, как в данном случае, готовили патч. Скорее всего они дождутся патча от своего прородителя:
Debian и Fedora уже начали выпуск патченных версий.
Патчить должны мейнтейнеры Vim, а дистростроителям нужно просто этот патч применить при сборке новых версий.
А как можно сделать файл который в теле содержит обычный текст, а на самом деле там там строки кода, которые даже cat не отображает?
В данном случае при помощи escape-кодов терминала.
Можно ли тогда говорить, что у cat и bash если не уязвимость, то по-крайней мере баг?
cat должен отображать текст как есть, или форматирование спецсимволами это фича?
Они в этом случае ни при чём. Баш это просто оболочка, а cat выдаёт просто поток байтов из файла в терминал (вообще в другой поток, но упрощённо скажем, что в терминал).
Форматирование спецсимволами — именно что фича самого терминала, обусловленная стандартом ещё из далёких времён, когда терминалы были отдельными устройствами.
В Vim и NeoVim найдена критическая уязвимость, пора обновляться