• 締切済み

pngの脆弱性とgoogle類似画像検索について

png画像には脆弱性があると知り、それを知ってからなるべく開かずに これまできたのですが、最近気が緩みふとgoogle類似画像検索を使用したとき、 参照先にpngを置いてしまい、サイトを通してですが表示してしまいました この場合直接画像を開いた時と同じ状況になるのでしょうか? それともサイトを通しているので直接表示扱いにならず、 その画像がもし悪意あるものでも感染しないのでしょうか? そしてpngの脆弱性を利用したウイルス感染は ウイルスセキュリティソフトで駆除できるのでしょうか? 使用OSは7 ブラウザはgoogle chrome  ウイルスセキュリティはカスペルスキー2013です 回答よろしくお願い致します。

みんなの回答

  • mrkato
  • ベストアンサー率47% (1008/2121)
回答No.1

公式な脆弱性開示情報は視ましたか。 そしてブラウザなりアプリ=WindowsUpdateの適用とか、 libpng表示ライブラリ(共通するソフト)のアップデートはしましたか。 日本マイクロソフトTeckNet(Windows公式) MS13-051、公開日: 2013年6月12日 Microsoft Office の脆弱性により、リモートでコードが実行される https://technet.microsoft.com/ja-jp/security/bulletin/ms13-051 対象=Microsoft Office 2003 Service Pack 3(Outlook2003とWordが連携するとき。 サポート切れのため、Office 2007 やOffice 2010 への移行を強く推奨) 対象=Microsoft Office for Mac 2011(Microsoft AutoUpdate for Mac を使用して更新配布) これの元情報の脆弱性データベース、 CVE-2013-1331 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1331 もう一方、 JVN脆弱性データベース、最終更新日:2012/09/26 JVNVU#523889 libpng に整数オーバーフローの脆弱性 http://jvn.jp/cert/JVNVU523889/ 対象=フェンリルpictbear(Windows無料ペイントアプリ。現行バージョン2.0.4で対策済み) http://blog.fenrir-inc.com/jp/2012/02/pictbear-2-0-4.html 対象=富士通のサーバーにサプライされているSolaris OS環境 http://software.fujitsu.com/jp/security/vulnerabilities/vu523889.html 対象=NECのWindowsサーバ上画像処理・配信アプリInfoFrameシリーズ http://jpn.nec.com/security-info/secinfo/nv12-009.html libpng表示ライブラリ(共通するソフト)はオープンソース開発の物です。 http://libpng.sourceforge.net/index.html (上記JVN該当製品で、日本マイクロソフトは該当製品なし報告を掲載しています。 アプリが同梱しているlibpngを用いる部分が問題で、OS側で脆弱性は持っていません) 公開最新版は 13,017 (This Week)Last Update: 2013-07-18 http://sourceforge.net/projects/libpng/ ですが、公式サイトでlibpng-1.5.17 and libpng-1.6.3も現行改訂版とあり、 使う元のソフトとのインターフェース違いで複数バージョンが供給されています。 上記NECのInfoFrameシリーズではlibpng-1.2系を同梱と明示し対策済み。 開発者むけの把握抜きで不用意にlibpngバイナリのみ差し替えせず、 アプリやシステム提供側の公式アップデートに従ってかまいません。