vim-jp » Vimのユーザーと開発者を結ぶコミュニティサイト

プラグイン製作者様へのお願いとプラグイン利用者様への注意喚起

Posted at 2011/11/25


先日vim使用者の為のメーリングリスト、「vim_use」にて、とあるVim scriptが疑わしいので注意喚起した方が良いのでは無いかとの報告がありました。

プラグイン詳細には英語の説明はなく、アーカイブ内にcscope.exectags.exeという2つWindowsの実行ファイルと他の方が作られた幾らかのスクリプトが含まれていたそうです。

その後、作者の方と連絡が取れたらしく、本人の説明によるとC++開発環境を手間なく構築する為の物だった様ですが、実際に危険な物かどうかは調査出来ておりません。

これに限った話ではなく、最近ではVimanaやgit等で直接インストールできるbundle系プラグインによりVim scriptのインストールが簡単になりましたが、インストールする際にはぜひ中身を確認してから行って下さい。

スクリプト言語とは言えいろんな事が出来てしまいます。

  • if_perlやif_python、if_ruby等を使った高度な処理を使った不正なファイルアクセス
  • system()関数による想定外の外部プロセス起動

など、場合によっては環境へ危害を加える事も出来てしまいます。今一度、今後の皆さんのインストール指針についての再考をご検討下さい。

またプラグイン製作者様においても実行モジュールを登録するという事はプラグイン自身だけでなくサイトに関しても

  • 信頼の低下
  • 重複したモジュールや古いプラグインの登録
  • 巨大なバイナリデータの添付による負荷

につながる事になります。

現在、この問題に対して別のMLスレッドで議論が進んでいますが、皆さんにおいてもご留意頂く様お願い致します。


もどる