Vim、NeoVim 曝出高危漏洞-电子发烧友网

Vim、NeoVim 曝出高危漏洞

Vim 和 NeoVim曝出了一个允许任意代码执行的高危漏洞。漏洞编号CVE-2019-12735，Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。漏洞位于编辑器的 modelines 功能中，该功能允许用户指定窗口大小和其它定制选项，modelines 限制了沙盒内可用的指令。

但安全研究员 Armin Razmjou发现source! 指令会绕过这一保护。因此如果用户打开一个恶意文本文件，攻击者可以控制计算机。

漏洞利用需要编辑器启用 modelines，部分 Linux 发行版默认启用了该功能，而苹果的 macOS 没有默认启用。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

Linux

Linux

+关注

关注
87

文章
11304

浏览量
209516
计算机

计算机

+关注

关注
19

文章
7494

浏览量
87959

原文标题：Vim 和 NeoVim 曝出高危漏洞

文章出处：【微信号：LinuxHub，微信公众号：Linux爱好者】欢迎添加关注！文章转载请注明出处。

vim编辑器命令模式使用方法

Vim编辑器是一款功能强大的文本编辑器，广泛应用于程序员和开发者的日常工作中。Vim编辑器拥有多种模式，其中命令模式（Command mode）是最基本的模式之一，它允许用户执行各种命令来操作

发表于 08-30 15:01 •419次阅读

vim编辑器如何使用

Vim编辑器是一个功能强大的文本编辑器，它基于Vi进行改进，并增加了许多新特性。Vim编辑器的使用主要涉及其不同的工作模式及相应操作。以下是Vim编辑器的基本使用方法：一、Vim编辑

发表于 08-30 14:58 •448次阅读

vim的操作方式有哪几种

Vim（Vi IMproved）是一个功能强大的文本编辑器，它具有多种操作方式，包括命令模式、插入模式、可视模式等。命令模式命令模式是Vim的默认模式，用户在启动Vim时自动进入命令模式。在命令

发表于 08-30 14:54 •576次阅读

vim的三种工作模式有哪些

Vim是一个功能强大的文本编辑器，它具有三种工作模式：普通模式、插入模式和命令行模式。以下是对这三种模式的介绍：普通模式（Normal Mode）普通模式是Vim的默认模式，当启动Vim时，它会

发表于 08-30 14:52 •769次阅读

vim的三种工作模式是什么?如何切换

Vim是一款功能强大的文本编辑器，它具有多种工作模式，以满足不同用户的需求。在Vim中，主要有三种工作模式：普通模式、插入模式和命令行模式。普通模式（Normal Mode）普通模式是Vim

发表于 08-30 14:50 •2846次阅读

嵌入式学习-Vim编辑器之Vim常用操作命令

1、系统终端常用的相关命令1）创建打开文件命令：vim filename我们可以通过以上命令创建一个新文件或者是打开已有文件进行编辑。已打开hello.c文件为例：elf@ubuntu:~/work

发表于 08-24 10:59

Vim编辑器之Vim常用操作命令

发表于 08-23 09:21

常用编辑器之Vim编辑器

在Linux下我们对文本进行编辑，经常用到的编辑器就是Vi/Vim，Vi/Vim命令众多，功能强大，是大多数Linux程序员选择使用的编辑器。下面先简单介绍Vim编辑器的安装和工作模式，下一节介绍

发表于 08-22 09:48

OPA361输入为复合视频，输出视频图像画面异常，跟过曝一样，为什么？

输入为复合视频，输出视频图像画面异常，跟过曝一样，不知到是什么原因？

发表于 08-19 06:24

英特尔修补90项漏洞，其中包括Neural Compressor高危缺陷

本次披露的问题主要集中在软件层面，神经压缩机中的一个漏洞被评为CVSS10.0的“满点”分数，具有远程提权和实施任意攻击的能力。

发表于 05-16 14:56 •639次阅读

GitHub存在高危漏洞，黑客可利用进行恶意软件分发

据悉，该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接，包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。

发表于 04-23 14:36 •712次阅读

LG智能电视被曝存四安全漏洞，影响超9万台设备

该漏洞利用了3000/3001端口上运行的服务，主要为智能手机提供PIN接入功能。Bitdefender指出，虽然这些漏洞应仅限局域网使用，但Shodan扫描显示，约有91000台潜在易受攻击的LG设备。

发表于 04-10 14:12 •585次阅读

HTTP / 2 协议存高危漏洞，可能引发拒绝服务攻击

该漏洞围绕着HTTP/2的配置缺陷展开，重点在于未能合理控制或者消除请求数据流中的CONTINUATION帧内容。这是一种延续报头块片段序列的技术，使得报头块能够拆分到不同的帧中。

发表于 04-08 15:37 •668次阅读

Cybellum汽车检测平台被曝漏洞，官方回复！全球汽车安全监管持续升级

（谈思汽车讯）2月21日，有媒体报道称，国外知名产品安全平台Cybellum存在高危漏洞，由于该平台被绝大多数的OEM、Tire1以及检测机构广泛用于固件安全检测与管理，消息一经发布，即引发

发表于 02-26 14:12 •384次阅读

Cybellum汽车检测平台被<b class='flag-5'>曝</b><b class='flag-5'>漏洞</b>，官方回复！全球汽车安全监管持续升级

曝传音多发30%年终奖给员工 23年出货量同比增长30.8%

曝传音多发30%年终奖给员工年底了，每个打工人的愿望都是希望能够多拿年终奖，曝传音多发30%年终奖给员工。根据网络曝出的消息显示，传音发布了年终奖的通知；在通知中传音表示，员工年终

发表于 01-26 19:55 •1680次阅读

搜索历史

Vim、NeoVim 曝出高危漏洞

评论