В популярном текстовом редакторе Vim для операционной системы Windows обнаружена серьёзная уязвимость, которая может привести к выполнению произвольного кода на атакованных системах. Проблема, получившая идентификатор CVE-2025-66476, затрагивает версии Vim ранее 9.1.1947. Эксперты оценили её как высокоопасную из-за потенциального серьёзного ущерба для пользователей Windows.
Детали уязвимости
Уязвимость связана с некорректным порядком поиска исполняемых файлов в операционной системе Windows. Когда Vim выполняет задачи, требующие вызова внешних команд, он в первую очередь ищет исполняемые файлы в текущем рабочем каталоге пользователя и только затем обращается к системным путям. Такой порядок создаёт опасную лазейку для злоумышленников. Они могут разместить вредоносный исполняемый файл в директории, где работает пользователь, и Vim выполнит его вместо легитимной системной утилиты.
Сценарий атаки выглядит довольно простым, что лишь усиливает его опасность. Например, пользователь может клонировать вредоносный репозиторий из интернета и открыть любой его файл в редакторе Vim. Создатель репозитория мог заранее поместить туда троянизированный исполняемый файл с распространённым названием, таким как "findstr.exe". Когда пользователь выполнит команду поиска ":grep" в Vim, редактор начнёт поиск утилиты "findstr.exe" и обнаружит вредоносную версию в текущем каталоге, а не легитимный системный файл в "Windows\System32". В результате Vim исполнит код злоумышленника с теми же привилегиями, что и у пользователя, запустившего редактор.
Важно отметить, что для успешной атаки пользователю не требуются права администратора. Угроза реализуется при обычных операциях в редакторе. Специалисты проекта Vim присвоили уязвимости высокий уровень опасности именно потому, что она позволяет выполнить произвольный код без необходимости наличия повышенных привилегий. Злоумышленник потенциально может установить вредоносное ПО, похитить конфиденциальные данные, модифицировать файлы или выполнить другие действия от имени скомпрометированной учётной записи.
Инициировать выполнение кода можно через несколько функций Vim, которые вызывают внешние утилиты. В их число входят команда ":grep", выполнение внешних команд через ":!", команды фильтрации, а также функция ":make" для интеграции со средствами сборки. Кроме того, угрозу несут любые функции, использующие в скриптах Vim вызов "system()". Это означает, что атака может произойти практически при любой стандартной операции, что делает уязвимость особенно опасной.
Разработчики Vim уже устранили проблему в версии 9.1.1947. Следовательно, всем пользователям Vim на платформе Windows рекомендуется немедленно обновиться до этой исправленной версии или более поздней. Это позволит полностью устранить уязвимость и защитить систему от потенциальной эксплуатации.
Первоначально о проблеме сообщил Саймон Цукербраун из программы Zero Day Initiative компании Trend Micro. Исследователь продемонстрировал уязвимость, показав, как Vim можно заставить запустить стандартный Калькулятор Windows вместо легитимных системных утилит. Это наглядный пример того, как может быть использована ошибка.
Данный инцидент в очередной раз подчёркивает критическую важность корректной обработки путей в приложениях, особенно в среде Windows, где текущий каталог традиционно имеет приоритетное положение в порядке поиска. Пользователям следует проявлять осторожность при открытии файлов из непроверенных источников. Владельцам систем с Vim для Windows необходимо в приоритетном порядке установить обновление безопасности, чтобы защитить свои рабочие станции от потенциальных атак, использующих эту уязвимость. Своевременное обновление программного обеспечения остаётся одним из ключевых методов защиты от современных киберугроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-66476
- https://github.com/vim/vim/security/advisories/GHSA-g77q-xrww-p834
- https://github.com/vim/vim/commit/083ec6d9a3b7b09006e0ce69ac802597d25
- https://github.com/vim/vim/releases/tag/v9.1.1947
