こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

dllファイルと脆弱性のことで伺います

VIXという著名な画像ソフトがあるのですが、脆弱性があるとのことで使用中止を呼びかけております。
https://forest.watch.impress.co.jp/docs/news/1111312.html
文章を読んでも意味がわかりません。
一体、VIXを使い続けるとどうなるのですか?

ちなみにVIXのフォルダ内にあるdllファイルを除いて使用してみましたが、問題なく動作するようです。

以上、よろしくお願いします

投稿日時 - 2019-06-16 21:20:25

QNo.9626455

困ってます

質問者が選んだベストアンサー

画像を読み込む際のフォルダの中にdll があると、それも読み込んでしまうという仕様なので、注意してね、って話かと。
簡単に修正できるはずなので、修正してもらおうと思って連絡を取ろうとしたけど、取れなかった。

逆にいれば、フォルダや圧縮ファイルもかな?その中に、悪意あるdll がなければ、問題はないという事。
ソフトの中にウィルスが入ってるから使うな!という話ではないから、そこまで心配するような不具合ではない。


起こり得るケースは、悪意ある人が、この画像見て!とか、画像をダウンロードさせて、VIXで閲覧して、その中に、フォルダのなかに悪意あるdll があると、悪意あるコードが実行されてしまうかもしれない、という話です。

自分用の画像閲覧なら、多分なんの問題もないと考えられる。たぶん。

あと、かってに、dll は削除しちゃダメ。
今回は平気だろうけど、最悪、パソコン全体に影響がある可能性もあるから。

投稿日時 - 2019-06-16 22:08:41

お礼

回答いただきありがとうございます。

使うか否か迷っていますが、もし使うなら“画像ファイルと同じフォルダーにDLLファイルが無いことを確認して”使おうと思います。
それからdllの削除は止めます

投稿日時 - 2019-06-16 23:14:43

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(7)

ANo.7

ViXに同梱されているdllが問題ではなくて、画像を読み込むフォルダに、悪意のあるdllがあると、それを読んで動作してしまう、というところが問題なのではないでしょうか。

投稿日時 - 2019-06-17 13:46:45

お礼

あっ、そういうことなのですね。
私はてっきり同梱されているdllが問題だと思っていました。

回答いただきありがとうございます。

投稿日時 - 2019-06-17 23:25:54

ANo.6

https://forest.watch.impress.co.jp/docs/news/1111312.html
↑のURLから更に2018年3月13日に公開されたJVN#56764650に
”ViX における DLL 読み込みに関する脆弱性”に関する詳しい解説があります。

参考URL:https://jvn.jp/jp/JVN56764650/

投稿日時 - 2019-06-17 08:01:56

お礼

回答いただきありがとうございます。
参考となる解説を紹介いただき感謝いたします。

投稿日時 - 2019-06-17 23:23:22

ANo.5

正確には、

| 画像ファイルと同じディレクトリに存在している特定の DLL を読み込んでしまう脆弱性 (~) が存在します。

という事だそうです。

JVN#56764650: ViX における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN56764650/

--
> 一体、VIXを使い続けるとどうなるのですか?

条件良く分かりませんが、例えば私が悪意を持って、
「△△の時の画像です。」
画像フォルダ
┣画像.jpg
┗悪意.dll

ってのを送り、質問者さんが画像をダブルクリックしてViXで開こうとすると、悪意のあるDLLが読み込まれて、任意のコードが実行されるんだから、
・HDDのファイルを全部消す
・HDDのファイル内容をメールで送る
・特定の個人情報のファイルをコピーして送る
何でもアリです。

投稿日時 - 2019-06-16 23:45:59

お礼

回答いただきありがとうございます。

他者とファイルのやり取りをする時は十分注意いたします

投稿日時 - 2019-06-17 23:22:39

ANo.4

「dllファイルがない事の確認」には隠し属性や右書き文字による誤認の問題もあるので意外と面倒ですよ。

投稿日時 - 2019-06-16 23:38:51

お礼

回答いただきありがとうございます。

投稿日時 - 2019-06-17 23:21:36

ANo.2

本来、画像閲覧ソフトである ViX はJPEGやPNGなどといった画像ファイルのみをソフト内で展開して解析処理するプログラムとして振る舞うべきであり、それ以外の例えばテキストファイルやEXEファイルなどは一切無視して展開や読み込み自体を拒否するか無効化する様に振る舞うべきであるところを。今回の脆弱性の報告では、Windows上ではほぼ無制限に内部に様々な悪意を持った挙動を強制実行可能なスクリプト等を内包させる事が出来るDLLファイルを全く無警告でソフト内に読み込み自動的に展開実行してしまうという非常に危険な仕様であり、また現在は既に開発者とも長期間の音信不通状態で不具合や脆弱性を修正する事も出来なくなった無法状態で放置されているという事ですね。

画像閲覧ソフトならば他にも色んな選択肢が用意されていますので、敢えて ViX の継続使用にこだわる必要性は皆無だと思います。長年、使っていて愛着云々といった話は議論に値せず。現在のほぼ全てのPCがネットに常時接続されている時代、たった一人の不注意と怠慢でweb世界を壊滅させる致命的なウィルスの踏み台にされる危険性もあるのですから。危険性を知らなかったというのであればまだしも、もう既に脆弱性を知っているのですから継続使用するUserは犯罪予備軍と見なすべきでしょう。

また今回の脆弱性の問題が無くても、前述の様に既に開発者が音信不通状態であるのは潜在的に危険な状態が将来的に継続し続ける事を意味していますので。今後はこの様な脆弱性や不具合が頻出して行くだけで、修正や改善は全く行われない状態となっている事を意味しています。合理的判断が出来る人であれば直ちに仕様を中止し、代替ソフトへ乗り換える事案です。

P.S.
>VIXのフォルダ内にあるdllファイルを除いて…
そもそも相手を引っ掛けるためのDLLファイルを abc.dll みたいな名前ではバラ撒きません。正にそういった「自分は適切な運用で大丈夫」だと思ってる情強気取りの情弱を狙い撃ちにするのがウィルスやハッキングの基本中の基本です。

投稿日時 - 2019-06-16 21:58:50

お礼

回答いただきありがとうございます。

dllファイルの危険性を教えていただき感謝いたします。
代替ソフトの使用も検討してみます

投稿日時 - 2019-06-16 23:13:09

ANo.1

> ちなみにVIXのフォルダ内にあるdllファイルを除いて使用してみましたが、問題なく動作するようです。

それは、この問題とは何の関係も無いです。

画像ファイルと同じフォルダーに、悪意のあるDLLファイルがあると、何でも好き放題やられてしまう可能性があると言うことなので、画像ファイルと同じフォルダーにDLLファイルが無いことを確認してから使えば良いかと。

投稿日時 - 2019-06-16 21:48:51

お礼

回答いただきありがとうございます。

使うか否か迷っていますが、もし使うなら“画像ファイルと同じフォルダーにDLLファイルが無いことを確認して”使おうと思います。

投稿日時 - 2019-06-16 23:11:58

あなたにオススメの質問