フリーウエアの画像管理ソフトViXの脆弱性について

＞使い方として自分でデジカメで撮影した画像を整理、保存 ＞するだけの使い方ならなんの問題もないですよね。 ＞あと、ネットで表示された画面の ＞スクリーンコピーでも変なDLLファイルは入りませんよね。 まあそうですね、スクリーンショットも自分で作った画像ナノで大丈夫かとは思います。 ＞ネットで拾った画像や他の人からもらった画像でなければ ＞危険性はないですよね。 それらには本当に注意ですね…。 USBメモリでもらった画像フォルダに、こっそりまぎれたりしているかもしれません。 一度でもそういったものを開けば、翌日パソコンが使えなくなったりすることが考えられます(ランサムウェア)。 新しいソフトを試してみて、どうしても我慢できない動作とか見つからないので限り、乗り換えることをお勧めします…。

>自分で撮影した画像だけを整理、保存するだけなら全く問題はないと思いますが、違いますか？ そうとは言えます。！！ ネットからダウンロードしてると、例えば abcd.jpg.exeみたいに、JPEGに見せかけた実行ファイルみたいな フェイクをしてる悪質なファイルもあるのですが、 それらが入り込むことがない確信があるなら、 確かに無視してもOKと言ってもよいですね。

ViX は各種画像フォーマット用の「プラグイン」に対応しており、ViX本体で対応していない画像フォーマットであっても、プラグインDLLを用意しておけば表示することができます。 そのプラグイン(DLL)は、本来はViXプログラム本体と同じフォルダにコピーして使うのですが、その脆弱性は、表示しようとする画像ファイルと同じフォルダにあっても参照してしまうとのこと。 そうすると例えば、複数の画像ファイルがzipでまとめられている中に、こっそりウイルス入りDLLファイルを仕込む、ということが考えられます。 プラグインファイルを、プログラムフォルダからのみ検索していれば、そのようなウイルス入りDLLファイルは読み込まなかったのですが。 その脆弱性により、画像と同時に配布されたDLLを読み込んでしまうことで、悪意のある動作(HDD暗号化ランサムウェア、詐欺広告マルウェア、ウイルス再配布等…)をしてしまうことが考えられます。 そうなると、ViXを使う上では、画像ファイルを表示しようとする前に、フォルダ内をくまなく見て、DLLファイルが存在しないことを確認してから画像ファイルを表示する、なんて面倒なことをしなくてはならなくなります。 そんなことやってられないので、まあ、ViXの使用は中止したほうがよいでしょう。 移行先として次のようなツールの紹介があります。 ＞画像ビューア ViX の代替には Linar がおすすめ | 経験値ノート ＞https://expnote.com/how-to-use-image-viewer-linar/

大抵は、この手の脆弱性は、悪用されることを考慮して 公開しないのですが、これ公開してますね＾＾ >これは具体的にどの様にしたときに 詳細情報 Ｋ＿ＯＫＡＤＡ が提供する ViX は Windows 用グラフィックビューアソフトウエアです。ViX には、DLL を読み込む際の検索パスに問題があり、画像ファイルと同じディレクトリに存在している特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。 >どのように危険なのかを説明 想定される影響 プログラムを実行している権限で、任意のコードを実行される可能性があります。 だそうで、質問の答えそのものが、そのページに書かれてましたよ。 用は、無関係なDLLを実行できるバグなどがあって、 任意のコードを実行できてしまうから、危ないよ！ って事を言ってます。