「Emacs 25.3」が緊急リリース、悪意あるLispコードを実行する脆弱性を修正

末岡洋子
シェア

 テキストエディタGNU Emacsの開発チームは9月11日、最新版「GNU Emacs 25.3」を公開した。セキュリティ脆弱性を修正する緊急のリリースとしている。

 Emacs 25.3は2016年10月に公開された25系の最新版。4月に公開された25.2に続くリリースとなる。

 セキュリティ修正として、Enriched Textのx-displayデコードが無効になった。Enriched TextはフォーマットされたテキストファイルをWYSIWYGで編集できるマイナーモード。text/enrichedフォーマットで保存されたファイルでは自動的に有効になる。displayプロパティはプロパティのインスタンス化の一部として任意のLispフォームをサポートしており、x-displayのデコードにより悪意あるLispコードを実行できる可能性がある。

 開発チームによると、この脆弱性はバージョン19.29から存在するという。バージョン19.25は1995年7月に公開されている。

 メールリーダーGnusでも、メールメッセージやニュースに含まれる任意のLispコードの評価を無効にするため、richtext及びenrichedのインラインのMIMEオブジェクトのサポートも削除されている。

GNU Emacs
https://www.gnu.org/software/emacs/