Plugins: Είτε είστε προγραμματιστής, σχεδιαστής ή συγγραφέας, ένας καλός επεξεργαστής κειμένων πάντα σας βοηθά να εξοικονομήσετε χρόνο και να εργάζεστε πιο αποτελεσματικά.
Επιπλέον, οι σύνθετοι επεξεργαστές κειμένων παρέχουν στους χρήστες την δυνατότητα επέκτασης, επιτρέποντας τους να εγκαθιστούν και να εκτελούν plugins τρίτων για την επέκταση της λειτουργικότητας και, κυρίως, του πεδίου εφαρμογής του.
Ωστόσο, είναι γνωστό ότι τα plugins τρίτων συνεπάγονται πάντα με σημαντικό κίνδυνο hacking, είτε πρόκειται για plugins WordPress είτε για Windows’ extensions για Chrome, Firefox ή Photoshop.
Ο Dor Azouri, ερευνητής της SafeBreach, ανέλυσε αρκετούς δημοφιλείς επεξεργαστές κειμένου για συστήματα Unix και Linux, όπως οι Sublime, Vim, Emacs, Gedit και pico / nano, και διαπίστωσε ότι εκτός από το pico / nano, όλοι είναι ευάλωτοι σε μια κρίσιμη κλιμάκωση προνομίων που θα μπορούσε να χρησιμοποιηθεί από τους hackers για την εκτέλεση κακόβουλου κώδικα στα συστήματα των θυμάτων.
Το ζήτημα έγκειται στον τρόπο με τον οποίο οι συντάκτες κειμένου φορτώνουν τα plugins. Σύμφωνα με τον ερευνητή, υπάρχει ανεπαρκής διαχωρισμός των κανονικών και αυξημένων λειτουργιών κατά τη φόρτωση των plugins.
Η ακεραιότητα των αδειών φακέλου δεν διατηρείται απόλυτα, γεγονός που επιτρέπει στους hackers με απλές άδειες χρήστη την αναβάθμιση των προνομίων τους και την εκτέλεση αυθαίρετου κώδικα στο μηχάνημα-στόχο.
Επομένως, οι hackers θα μπορούσαν να διαδώσουν μια κακόβουλη επέκταση για ευάλωτα text editors, δίνοντάς τους τη δυνατότητα να εκτελούν κακόβουλο κώδικα με αυξημένα δικαιώματα, να εγκαθιστούν κακόβουλα προγράμματα και να αποκτούν τον πλήρη έλεγχο των στοχευμένων υπολογιστών.
Ο Azouri υποδεικνύει ότι οι χρήστες του Unix μπορούν να χρησιμοποιήσουν ένα σύστημα ανίχνευσης εισβολών ανοιχτού κώδικα, που ονομάζεται OSSEC, για να παρακολουθούν ενεργά τη δραστηριότητα του συστήματος, την ακεραιότητα των αρχείων, τα αρχεία καταγραφής και τις διαδικασίες.
Οι χρήστες θα πρέπει να αποφύγουν τη φόρτωση plugins τρίτων όταν ο επεξεργαστής κρίνεται “ elevated” και επίσης να αρνηθούν δικαιώματα εγγραφής για τους “ non-elevated users”.
Ο Azouri συνέστησε στους προγραμματιστές επεξεργαστών κειμένου να αλλάξουν τους φακέλους και τα μοντέλα άδειας αρχείων για να ολοκληρώσουν τον διαχωρισμό μεταξύ τακτικών και ενισχυμένων λειτουργιών και να παρέχουν μια χειροκίνητη διεπαφή που θα επιτρέπει στους χρήστες να εγκρίνουν την αυξημένη φόρτωση plugins.
