ニュース

22年前に混入した脆弱性を緊急修正した「Emacs 25.3」が公開

テキストに埋め込まれた悪意ある「Lisp」コードが実行されてしまうおそれ

「Emacs」のメーリングリスト

 テキストエディター「Emacs」の最新版「Emacs 25.3」が、11日に公開された。セキュリティ上の脆弱性を修正するための緊急リリース。Windows向けのバイナリはまだ用意されていないようだが、近いうちにリリースされるものと思われる。

 メーリングリストによると、「Emacs」の“Enriched”テキストモードでは“x-display”のデコードがサポートされており、“display”プロパティをテキストの一部として保存することができる。しかし、このプロパティをインスタンス化する過程で「Lisp」フォームが評価されるため、電子メールのメッセージなど、テキストに埋め込まれた悪意ある「Lisp」コードが実行されてしまう可能性があった。そこで“x-display”のデコードを無効化する処置を施しているという。

 この脆弱性は1995年6月にリリースされた「Emacs 19.29」で混入しており、それ以降バージョンに影響するものとみられる。メーリングリストでは回避策も案内されているため、何らかの理由でアップデートが難しい場合は導入しておくとよいだろう。

 なお、同様の脆弱性を防止するため、“richtext”や“enriched”といったインラインのMIMEオブジェクトはサポートされなくなるので注意したい。