「Emacs 25.3」が緊急リリース、悪意あるLispコードを実行する脆弱性を修正
テキストエディタGNU Emacsの開発チームは9月11日、最新版「GNU Emacs 25.3」を公開した。セキュリティ脆弱性を修正する緊急のリリースとしている。
Emacs 25.3は2016年10月に公開された25系の最新版。4月に公開された25.2に続くリリースとなる。
セキュリティ修正として、Enriched Textのx-displayデコードが無効になった。Enriched TextはフォーマットされたテキストファイルをWYSIWYGで編集できるマイナーモード。text/enrichedフォーマットで保存されたファイルでは自動的に有効になる。displayプロパティはプロパティのインスタンス化の一部として任意のLispフォームをサポートしており、x-displayのデコードにより悪意あるLispコードを実行できる可能性がある。
開発チームによると、この脆弱性はバージョン19.29から存在するという。バージョン19.25は1995年7月に公開されている。
メールリーダーGnusでも、メールメッセージやニュースに含まれる任意のLispコードの評価を無効にするため、richtext及びenrichedのインラインのMIMEオブジェクトのサポートも削除されている。
GNU Emacs
https://www.gnu.org/software/emacs/