该漏洞是由 Emacs 在打开文件时自动处理 .git/ 目录的内容引起的。在这种情况下,Emacs 会在打开文件时运行 git ls-files 和 git status 命令,这些命令是在 .git/ 目录的内容上下文中执行的。要执行此代码,只需在 Emacs 中打开一个包含 .git/ 子目录的文件,该文件的配置文件中包含 core.fsmonitor 选项,并指定攻击者要运行的命令即可。GNU Emacs 的维护者拒绝修复此漏洞,并将责任推卸给了 Git 开发人员。
来源: linux.org.ru
