Mery 2.3.0.5095

重要!

去年の 9 月に Delphi の VCL の脆弱性が見つかって騒ぎになりました。

http://codezine.jp/article/detail/8119

対象は XE6 ということでホットフィックスが配布されて終了していました。XE は対象になっていないから大丈夫なんだろうと思いつつ、念のために対象の個所のソースコードを確認し Mery では使用していない部分のコードだったのでそっとしておきました。

XE8 が発売されたこともあり情報を収集中にふと脆弱性の記事が目にとまったもので再度確認してみましたところ、後日こっそり追記されており「XE4 およびそれ以前のバージョンの場合は自分で修正しなさい」と書かれていました。XE はサポート切れとはいえ Delphi のユーザ登録をしているのだから、そういう重要なことぐらいは連絡くれても良さそうなものですが…

そういうわけで Mery が安全かどうかのご報告が遅れてしまったことをお詫びいたします。

この脆弱性は細工されたビットマップを読み込むことで任意のコードを実行される恐れがあるというものです。Mery では背景画像にビットマップを読み込むことが可能になっていますが、2013 年 3 月 5 日にリリースしたバージョン 2.1.0.4465 よりも古いバージョンにおいてはこの脆弱性の対象となります。バージョン 2.1.0.4465 以降はビットマップの読み込みに Windows Imaging Component を使用するようになっており、脆弱性の対象となるコードは使用されておりません。お手数をお掛けしますが Mery のメインメニューから「ヘルプ」→「バージョン情報」をご確認いただき、対象のバージョンをお使いの場合は新しいバージョンに更新をお願いいたします。

今後、機能追加などの際に不意に対象のコードを使用してしまわないよう開発環境におけるソースコードは修正いたしました。開発環境の Delphi XE がサポート切れのためとはいえ、ご報告が遅れてしまい申し訳ございませんでした。今後とも Mery をよろしくお願いいたします。

更新履歴

  • Delphi の VCL のバッファオーバーフローによる脆弱性の修正。
    http://support.embarcadero.com/article/44089
    (Mery は背景画像としてビットマップを読み込み可能ですがバージョン 2.1.0.4465 以降は Windows Imaging Component を使用するようになっており、脆弱性にあたる部分のコードは使用されません。念のための修正です)
  • HSP の強調表示を v3.4 に更新。
  • マクロのイベント駆動に対応。
  • Windows XP で ListView と TreeView のチェックボックスが地味だったのを修正。
  • プラグインイベントの EVENT_SET_FOCUS と EVENT_KILL_FOCUS が発生条件を修正。
  • プラグインイベントの EVENT_FILE_OPENED の発生タイミングを処理完了後に変更。
  • プラグインイベントの EVENT_DOC_CLOSE の発生タイミングを破棄前から閉じる前に変更。
  • プラグインイベントの EVENT_CARET_MOVED の発生タイミングを処理完了後に変更。
  • プラグインイベントの EVENT_CHANGED の発生タイミングを処理完了後に変更。
  • プラグインイベントの EVENT_MODE_CHANGED の発生タイミングを処理完了後に変更。
  • プラグインイベントの EVENT_SET_FOCUS の発生タイミングを更新チェックの前に変更。
  • プラグインイベントに EVENT_FILE_SAVING を追加。
  • 既定のエンコードが UTF-16 で ASCII 文字のみのファイルを開いたときに Mery 標準のエンコードである UTF-8 (BOM 無し) を適用するようにしてみた。
    (ASCII 文字のみのファイルのエンコードが変わってしまうのを回避するため)

ダウンロード

Mery_2.3.0.5095.zip

* Windows 8, 7, Vista, XP 対応
* VirusTotal でウイルスチェック済

Comments (26)

  1. 何時もありがとうね。

     |  ひとみ
  2. あたたかいお言葉、ありがとうございます!

     |  Kuro
  3. 対策お疲れ様です。そしてありがとうございます。

     |  saku
  4. 愛用してますよ。

     |  かおる
  5. お世話になっております。対処と更新ありがとうございます。

     |  drake
  6. コメントありがとうございます。
    開発力がみなぎってきますッ!

     |  Kuro
  7. 真摯な改定版ご馳走様いつも有難う。

     |  どぐう
  8. ● どぐう さん

    コメントありがとうございます!
    若干、開発力が低下してきた今日この頃です…

     |  Kuro
  9. お疲れ様です。
    ほんっとにお世話になっています!

     |  ちか
  10. 脆弱性対処・保守更新お疲れ様です。ありがとう。
    Windows 10 preview 10074 でMery v2.2.6使ってたんだけどあまりに不安定で精神的に参ったのでここに久しぶりに来ました

    ここに書き込んで原因がわかるとは思えないんだけど、、、Mery上でもFirefoxのこのテキストエリアでコピー、切り取りをやると起動中のMeryだけが応答なしで数十秒固まる。。。
    原因が開発中のOSにあるのかMeryにあるのか、それとも自分のおま環のせいなのか
    Win10使ってる人ほかにいませんかねえ

     |  メリーユーザ
  11. ● メリーユーザ さん
    とりあえず手元の Windows10 Insider Preview 10074 on VMware Player
    ・32bit(初期から徐々に Update してきた検証用)
    ・64bit(今入れてみた)
    では再現しないですね

    Mery に何かプラグインを入れていないか,
    Firefox もアドオン切ってみるとか IE にしてみるとか,
    そのあたりを確認してみてはどうでしょう

     |  ks
  12. ● メリーユーザ さん

    ご連絡ありがとうございます。
    私も Windows 10 Build 10074 (32bit) で実機で試してみました。

    FireFox で開いているサイト内のテキストエリアから Mery にコピペする、ということで良いのでしょうか。当方の環境では、とくに問題なく実行できました。

    Mery はウィンドウがアクティブになった際に開いているファイルが更新されているかどうかをチェックしに行きます。ネットワーク上のファイルを開いている場合はこのチェックに時間がかかることがあります。(手元の Win 10 環境でネットワーク上のファイルを開いて試してみましたが、10 秒もかかりませんでしたが…)

    > Mery上でもFirefoxのこのテキストエリアでコピー、切り取り

    この操作は、FireFox 上でコピーをした瞬間に裏で Mery が固まっているということなのでしょうか?となると、クリップボード履歴も怪しい気がします。もしかすると、ほかのクリップボード履歴監視ツールのようなものと競合しているのかもしれません。

    「オプション」→「履歴」から「クリップボード履歴を有効にする」のチェックをはずして試してみてください。

     |  Kuro
  13. いつも愛用させてもらってます。
    先日表示色をいろいろいじって変更していたのですが
    "カーソルのある行"の文字色指定が反映されないようです。
    (あるいはこの設定の意味を私が取り違えているのかも)

     |  Xia
  14. ● Xia さん

    Mery をご愛用くださりありがとうございます。
    "カーソルのある行" の文字色指定は行全体の文字色ではなく、左端に表示されている行番号の文字のみ反映されるような仕様になっております。(行全体の文字色が変わってしまうと、せっかくの色分けや強調表示も台無しですからね…)

     |  Kuro
  15. いつも愛用させてもらってます。
    .jsを実行した際エラーが出ますけれども
    今後直ってほしいです。
    いつもありがとうございます。

     |  サカイ
  16. ● サカイ さん

    Mery をご愛用くださりありがとうございます。
    .js ですが、Mery の My Macros フォルダにはじめから入っている .js ファイルのことでしょうか?
    この .js ファイルはダブルクリックで実行するものではなく、Mery の上部メニューから

    「マクロ」→「選択」で .js ファイルを選択し、「マクロ」→「実行」で実行することが可能です。

     |  Kuro
  17. こんにちは。更新お疲れ様です。

    関係ない話でちょっと質問なのですが、Meryの「開く」ダイアログのファイル名にURLを入れても、何も表示されません。
    これってなんか制限をかけているんでしょうか?
    メモ帳とかほかのエディタならURLで直接開けるので、どうしてかなと思い質問させていただきました。

    ちなみにOSはWin7 Pro 64bitで使っています。

     |  coizumi
  18. ● coizumi さん

    こんばんは、書き込みありがとうございます。

    開くダイアログに URL ですね、入力したことがなかったので気づきませんでした。メモ帳とかですとローカルのキャッシュに落としてから開いているようですね。

    Mery は特に意識して制限をかけているわけではなく、そういう機能があるのを知らなかっただけです^^;
    「開く」ダイアログを作成するときにそういう機能を付け足すフラグを立ててやるだけなので、メモ帳などに準拠ということで次バージョンで付け足してみますね。

     |  Kuro
  19. Windows10 Pro Insider Preview 10162で動いているので感謝
    これからも頑張ってください。

     |  Passers-by
  20. ● Passers-by さん

    動作確認&応援ありがとうございます。
    もうすぐ Windows 10 が出ますね!ちょっと楽しみです。

     |  Kuro
  21. Windows 10 home 64bitでも愛用してます。
    見やすく使いやすいので愛用してます。
    いつもありがとうございます、これからもよろしくお願いします!

     |  patri
  22. 以前より愛用させていただいています。

     |  愛用者
  23. ● patri さん

    Windows 10 でのご試用ありがとうございます。
    当方、まだ Windows 10 の公式版を入手しておらず、Windows 10 の正式対応に至っておりませんので、動作報告いただけると大変ありがたいです。(近日中に導入する予定です)

    ● 愛用者 さん

    ご愛用くださりありがとうございます。
    ここ 2 日ほど、ちょっと食あたりに合い寝込んでおりましたが、やる気が出てまいりましたw

     |  Kuro
  24. いつも有難くMery使わせていただいてます。
    とても使いやすく、重宝してます。

    要望というか質問というかなんですけど…
    文字と文字の間隔を調整する事は可能でしょうか?
    web製作でいうCSSの「letter-spacing」みたいな感じです。

     |  カナコ
  25. ● カナコ さん

    Mery をご愛用くださりありがとうございます。
    残念ながら現在のところ文字間隔を調整する機能はありません。
    ご要望、ということで頂いておきますね。

     |  Kuro
  26. 分かりました。
    では実装される時を楽しみにしながら、今後もMeryにお世話になりたいと思います。

     |  カナコ

コメントを残す