TEDIT01
 プログラミングを行う際に重宝となるフリーのテキストエディタです。最近は高度な機能も搭載しており、プログラミングだけでなく、デザイナー、ライターなどさまざまな分野で使用されています。
 このテキストエディタのプラグインに脆弱性が存在する可能性があるという記事が先日出てきました。
  これはブラウザなどの拡張で使用されるエディタでChrome、Firefoxなどで使用できるものです。 
 WPGIN

 先日もサードパーティのプラグインである、WordPressのプラグインやChrome、Firefox、PhotoshopのWindows拡張機能など、ハッキングの危険性が常に高いという事実はすでに報じられています。
BEDIT02


 今回研究者らで解析し、見つかった問題はテキストエディタのプラグインが、権限昇格の脆弱性に対して脆弱であることがわかり、この脆弱性を使用して攻撃者が悪意のあるコードを実行するために悪用される可能性があるということです。
 この脆弱性の問題はテキストエディタがプラグインをロードする方法に問題があり、通常モードと昇格モードが不適切に分離されているとのことです。

 これは、フォルダーのアクセス許可の整合性が正しく維持されないため、ユーザーの権限を昇格してユーザーのコンピュータ上でで任意のコードを実行するため、通常のユーザー権限を持っていても
昇格されプラグインがロードされるということです。
 
、攻撃者は脆弱なテキストエディタの悪意のある拡張を広め、悪意のあるコードを昇格された特権で実行し、マルウェアをインストールして標的のコンピュータを完全に制御することができます。


 この問題についてはテキストエディタの開発者に、フォルダモードとファイルアクセス許可モデルを変更して、通常モードと昇格モードの分離を完了させ、可能であれば、ユーザーにプラグインの読み込みを許可する手動インタフェースを提供するようアドバイスしているとのことです。