Apple、macOS Sierra 10.12.3で任意のコードが実行されてしまうVimの脆弱性を修正。

シェアする

スポンサーリンク

 AppleがmacOS Sierra 10.12.3で任意のコードが実行されてしまうVimの脆弱性(CVE-2016-1248)を修正したと発表しています。詳細は以下から。


 Appleは本日、プレビューやMacBook Pro Late 2016のグラフィックスの不具合を修正した「macOS Sierra 10.12.3」を公開しましたが、この中にはVimで任意のコードが実行されてしまう脆弱性が修正されているそうです。

Vim

Available for: macOS Sierra 10.12.2

Impact: Opening a maliciously crafted file may lead to unexpected application termination or arbitrary code execution
Description: An input validation issue existed in modelines. This was addressed through improved input validation.

CVE-2016-1248: Florian Larysch

About the security content of macOS Sierra 10.12.3 – Apple Support

 この脆弱性の識別子は「CVE-2016-1248」で、昨年11月24日に公開されたVim patch 8.0.0056で修正されているので、Vimユーザーの方はアップデートをお勧めします。

コメント

  1. 匿名 より:

    ターミナル使っててちょっとファイルを編集したい時、/etc配下のファイルをいじる時など地味〜に必要なvimというかvi。

  2. 匿名 より:

    任意のコードが実行される、ってそりゃヤバいな、って思って元記事追っかけたけど
    ちょっと違うんじゃね?

    設定ファイルをパースするvimのコードに問題があって、設定ファイル中に実行ファイルを指定すれば、起動させる事が出来るってのは分かったけど、sodoで起動した場合を除け
    ば大した事は出来ない。
    #自分のホームディレクトリ以下の情報が流出したり消される程度。
    本当に設定ファイルが書き換えられていたならばvimがどうこう言う以前に、そのmacは
    既に乗っ取られてるだろうな。