重要！

去年の 9 月に Delphi の VCL の脆弱性が見つかって騒ぎになりました。

http://codezine.jp/article/detail/8119

対象は XE6 ということでホットフィックスが配布されて終了していました。XE は対象になっていないから大丈夫なんだろうと思いつつ、念のために対象の個所のソースコードを確認し Mery では使用していない部分のコードだったのでそっとしておきました。

XE8 が発売されたこともあり情報を収集中にふと脆弱性の記事が目にとまったもので再度確認してみましたところ、後日こっそり追記されており「XE4 およびそれ以前のバージョンの場合は自分で修正しなさい」と書かれていました。XE はサポート切れとはいえ Delphi のユーザ登録をしているのだから、そういう重要なことぐらいは連絡くれても良さそうなものですが…

そういうわけで Mery が安全かどうかのご報告が遅れてしまったことをお詫びいたします。

この脆弱性は細工されたビットマップを読み込むことで任意のコードを実行される恐れがあるというものです。Mery では背景画像にビットマップを読み込むことが可能になっていますが、2013 年 3 月 5 日にリリースしたバージョン 2.1.0.4465 よりも古いバージョンにおいてはこの脆弱性の対象となります。バージョン 2.1.0.4465 以降はビットマップの読み込みに Windows Imaging Component を使用するようになっており、脆弱性の対象となるコードは使用されておりません。お手数をお掛けしますが Mery のメインメニューから「ヘルプ」→「バージョン情報」をご確認いただき、対象のバージョンをお使いの場合は新しいバージョンに更新をお願いいたします。

今後、機能追加などの際に不意に対象のコードを使用してしまわないよう開発環境におけるソースコードは修正いたしました。開発環境の Delphi XE がサポート切れのためとはいえ、ご報告が遅れてしまい申し訳ございませんでした。今後とも Mery をよろしくお願いいたします。

スポンサーリンク

目次 更新履歴 ダウンロード

更新履歴

Delphi の VCL のバッファオーバーフローによる脆弱性の修正。

http://support.embarcadero.com/article/44089

(Mery は背景画像としてビットマップを読み込み可能ですがバージョン 2.1.0.4465 以降は Windows Imaging Component を使用するようになっており、脆弱性にあたる部分のコードは使用されません。念のための修正です)

http://support.embarcadero.com/article/44089 (Mery は背景画像としてビットマップを読み込み可能ですがバージョン 2.1.0.4465 以降は Windows Imaging Component を使用するようになっており、脆弱性にあたる部分のコードは使用されません。念のための修正です) HSP の強調表示を v3.4 に更新。

マクロのイベント駆動に対応。

Windows XP で ListView と TreeView のチェックボックスが地味だったのを修正。

プラグインイベントの EVENT_SET_FOCUS と EVENT_KILL_FOCUS が発生条件を修正。

プラグインイベントの EVENT_FILE_OPENED の発生タイミングを処理完了後に変更。

プラグインイベントの EVENT_DOC_CLOSE の発生タイミングを破棄前から閉じる前に変更。

プラグインイベントの EVENT_CARET_MOVED の発生タイミングを処理完了後に変更。

プラグインイベントの EVENT_CHANGED の発生タイミングを処理完了後に変更。

プラグインイベントの EVENT_MODE_CHANGED の発生タイミングを処理完了後に変更。

プラグインイベントの EVENT_SET_FOCUS の発生タイミングを更新チェックの前に変更。

プラグインイベントに EVENT_FILE_SAVING を追加。

既定のエンコードが UTF-16 で ASCII 文字のみのファイルを開いたときに Mery 標準のエンコードである UTF-8 (BOM 無し) を適用するようにしてみた。

(ASCII 文字のみのファイルのエンコードが変わってしまうのを回避するため)

ダウンロード

Mery_2.3.0.5095.zip

* Windows 8, 7, Vista, XP 対応

* VirusTotal でウイルスチェック済

スポンサーリンク

関連する記事

フォローする