dllファイルと脆弱性のことで伺います

ViXに同梱されているdllが問題ではなくて、画像を読み込むフォルダに、悪意のあるdllがあると、それを読んで動作してしまう、というところが問題なのではないでしょうか。

https://forest.watch.impress.co.jp/docs/news/1111312.html ↑のURLから更に2018年3月13日に公開されたJVN#56764650に ”ViX における DLL 読み込みに関する脆弱性”に関する詳しい解説があります。

正確には、 | 画像ファイルと同じディレクトリに存在している特定の DLL を読み込んでしまう脆弱性 (~) が存在します。 という事だそうです。 JVN#56764650: ViX における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN56764650/ -- > 一体、VIXを使い続けるとどうなるのですか？ 条件良く分かりませんが、例えば私が悪意を持って、 「△△の時の画像です。」 画像フォルダ ┣画像.jpg ┗悪意.dll ってのを送り、質問者さんが画像をダブルクリックしてViXで開こうとすると、悪意のあるDLLが読み込まれて、任意のコードが実行されるんだから、 ・HDDのファイルを全部消す ・HDDのファイル内容をメールで送る ・特定の個人情報のファイルをコピーして送る 何でもアリです。

「dllファイルがない事の確認」には隠し属性や右書き文字による誤認の問題もあるので意外と面倒ですよ。

本来、画像閲覧ソフトである ViX はJPEGやPNGなどといった画像ファイルのみをソフト内で展開して解析処理するプログラムとして振る舞うべきであり、それ以外の例えばテキストファイルやEXEファイルなどは一切無視して展開や読み込み自体を拒否するか無効化する様に振る舞うべきであるところを。今回の脆弱性の報告では、Windows上ではほぼ無制限に内部に様々な悪意を持った挙動を強制実行可能なスクリプト等を内包させる事が出来るDLLファイルを全く無警告でソフト内に読み込み自動的に展開実行してしまうという非常に危険な仕様であり、また現在は既に開発者とも長期間の音信不通状態で不具合や脆弱性を修正する事も出来なくなった無法状態で放置されているという事ですね。 画像閲覧ソフトならば他にも色んな選択肢が用意されていますので、敢えて ViX の継続使用にこだわる必要性は皆無だと思います。長年、使っていて愛着云々といった話は議論に値せず。現在のほぼ全てのPCがネットに常時接続されている時代、たった一人の不注意と怠慢でweb世界を壊滅させる致命的なウィルスの踏み台にされる危険性もあるのですから。危険性を知らなかったというのであればまだしも、もう既に脆弱性を知っているのですから継続使用するUserは犯罪予備軍と見なすべきでしょう。 また今回の脆弱性の問題が無くても、前述の様に既に開発者が音信不通状態であるのは潜在的に危険な状態が将来的に継続し続ける事を意味していますので。今後はこの様な脆弱性や不具合が頻出して行くだけで、修正や改善は全く行われない状態となっている事を意味しています。合理的判断が出来る人であれば直ちに仕様を中止し、代替ソフトへ乗り換える事案です。 P.S. ＞VIXのフォルダ内にあるdllファイルを除いて… そもそも相手を引っ掛けるためのDLLファイルを abc.dll みたいな名前ではバラ撒きません。正にそういった「自分は適切な運用で大丈夫」だと思ってる情強気取りの情弱を狙い撃ちにするのがウィルスやハッキングの基本中の基本です。

> ちなみにVIXのフォルダ内にあるdllファイルを除いて使用してみましたが、問題なく動作するようです。 それは、この問題とは何の関係も無いです。 画像ファイルと同じフォルダーに、悪意のあるDLLファイルがあると、何でも好き放題やられてしまう可能性があると言うことなので、画像ファイルと同じフォルダーにDLLファイルが無いことを確認してから使えば良いかと。