• ベストアンサー

dllファイルと脆弱性のことで伺います

VIXという著名な画像ソフトがあるのですが、脆弱性があるとのことで使用中止を呼びかけております。 https://forest.watch.impress.co.jp/docs/news/1111312.html 文章を読んでも意味がわかりません。 一体、VIXを使い続けるとどうなるのですか? ちなみにVIXのフォルダ内にあるdllファイルを除いて使用してみましたが、問題なく動作するようです。 以上、よろしくお願いします

質問者が選んだベストアンサー

  • ベストアンサー
  • tukuneto
  • ベストアンサー率26% (12/45)
回答No.3

画像を読み込む際のフォルダの中にdll があると、それも読み込んでしまうという仕様なので、注意してね、って話かと。 簡単に修正できるはずなので、修正してもらおうと思って連絡を取ろうとしたけど、取れなかった。 逆にいれば、フォルダや圧縮ファイルもかな?その中に、悪意あるdll がなければ、問題はないという事。 ソフトの中にウィルスが入ってるから使うな!という話ではないから、そこまで心配するような不具合ではない。 起こり得るケースは、悪意ある人が、この画像見て!とか、画像をダウンロードさせて、VIXで閲覧して、その中に、フォルダのなかに悪意あるdll があると、悪意あるコードが実行されてしまうかもしれない、という話です。 自分用の画像閲覧なら、多分なんの問題もないと考えられる。たぶん。 あと、かってに、dll は削除しちゃダメ。 今回は平気だろうけど、最悪、パソコン全体に影響がある可能性もあるから。

odaiba-city
質問者

お礼

回答いただきありがとうございます。 使うか否か迷っていますが、もし使うなら“画像ファイルと同じフォルダーにDLLファイルが無いことを確認して”使おうと思います。 それからdllの削除は止めます

その他の回答 (6)

  • tkf-
  • ベストアンサー率58% (821/1396)
回答No.7

ViXに同梱されているdllが問題ではなくて、画像を読み込むフォルダに、悪意のあるdllがあると、それを読んで動作してしまう、というところが問題なのではないでしょうか。

odaiba-city
質問者

お礼

あっ、そういうことなのですね。 私はてっきり同梱されているdllが問題だと思っていました。 回答いただきありがとうございます。

  • 486HA
  • ベストアンサー率45% (1013/2247)
回答No.6

https://forest.watch.impress.co.jp/docs/news/1111312.html ↑のURLから更に2018年3月13日に公開されたJVN#56764650に ”ViX における DLL 読み込みに関する脆弱性”に関する詳しい解説があります。

参考URL:
https://jvn.jp/jp/JVN56764650/
odaiba-city
質問者

お礼

回答いただきありがとうございます。 参考となる解説を紹介いただき感謝いたします。

回答No.5

正確には、 | 画像ファイルと同じディレクトリに存在している特定の DLL を読み込んでしまう脆弱性 (~) が存在します。 という事だそうです。 JVN#56764650: ViX における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN56764650/ -- > 一体、VIXを使い続けるとどうなるのですか? 条件良く分かりませんが、例えば私が悪意を持って、 「△△の時の画像です。」 画像フォルダ ┣画像.jpg ┗悪意.dll ってのを送り、質問者さんが画像をダブルクリックしてViXで開こうとすると、悪意のあるDLLが読み込まれて、任意のコードが実行されるんだから、 ・HDDのファイルを全部消す ・HDDのファイル内容をメールで送る ・特定の個人情報のファイルをコピーして送る 何でもアリです。

odaiba-city
質問者

お礼

回答いただきありがとうございます。 他者とファイルのやり取りをする時は十分注意いたします

  • unokwave
  • ベストアンサー率58% (966/1654)
回答No.4

「dllファイルがない事の確認」には隠し属性や右書き文字による誤認の問題もあるので意外と面倒ですよ。

odaiba-city
質問者

お礼

回答いただきありがとうございます。

  • 4017B
  • ベストアンサー率73% (1305/1776)
回答No.2

本来、画像閲覧ソフトである ViX はJPEGやPNGなどといった画像ファイルのみをソフト内で展開して解析処理するプログラムとして振る舞うべきであり、それ以外の例えばテキストファイルやEXEファイルなどは一切無視して展開や読み込み自体を拒否するか無効化する様に振る舞うべきであるところを。今回の脆弱性の報告では、Windows上ではほぼ無制限に内部に様々な悪意を持った挙動を強制実行可能なスクリプト等を内包させる事が出来るDLLファイルを全く無警告でソフト内に読み込み自動的に展開実行してしまうという非常に危険な仕様であり、また現在は既に開発者とも長期間の音信不通状態で不具合や脆弱性を修正する事も出来なくなった無法状態で放置されているという事ですね。 画像閲覧ソフトならば他にも色んな選択肢が用意されていますので、敢えて ViX の継続使用にこだわる必要性は皆無だと思います。長年、使っていて愛着云々といった話は議論に値せず。現在のほぼ全てのPCがネットに常時接続されている時代、たった一人の不注意と怠慢でweb世界を壊滅させる致命的なウィルスの踏み台にされる危険性もあるのですから。危険性を知らなかったというのであればまだしも、もう既に脆弱性を知っているのですから継続使用するUserは犯罪予備軍と見なすべきでしょう。 また今回の脆弱性の問題が無くても、前述の様に既に開発者が音信不通状態であるのは潜在的に危険な状態が将来的に継続し続ける事を意味していますので。今後はこの様な脆弱性や不具合が頻出して行くだけで、修正や改善は全く行われない状態となっている事を意味しています。合理的判断が出来る人であれば直ちに仕様を中止し、代替ソフトへ乗り換える事案です。 P.S. >VIXのフォルダ内にあるdllファイルを除いて… そもそも相手を引っ掛けるためのDLLファイルを abc.dll みたいな名前ではバラ撒きません。正にそういった「自分は適切な運用で大丈夫」だと思ってる情強気取りの情弱を狙い撃ちにするのがウィルスやハッキングの基本中の基本です。

odaiba-city
質問者

お礼

回答いただきありがとうございます。 dllファイルの危険性を教えていただき感謝いたします。 代替ソフトの使用も検討してみます

  • notnot
  • ベストアンサー率47% (4848/10262)
回答No.1

> ちなみにVIXのフォルダ内にあるdllファイルを除いて使用してみましたが、問題なく動作するようです。 それは、この問題とは何の関係も無いです。 画像ファイルと同じフォルダーに、悪意のあるDLLファイルがあると、何でも好き放題やられてしまう可能性があると言うことなので、画像ファイルと同じフォルダーにDLLファイルが無いことを確認してから使えば良いかと。

odaiba-city
質問者

お礼

回答いただきありがとうございます。 使うか否か迷っていますが、もし使うなら“画像ファイルと同じフォルダーにDLLファイルが無いことを確認して”使おうと思います。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows 7

関連するQ&A

  • フルサイズで表示される画像ソフト

    VIXという有名な画像ビューア・処理ソフトがありますが、近頃dllファイルと脆弱性の問題が指摘され使用中止を呼びかけているようです。 https://forest.watch.impress.co.jp/docs/news/1111312.html そこでVIXのようにサムネイルをダブルクリックすると別に画像ウインドウが開き、フルサイズで表示されるフリーの画像ソフトはありますか? よろしくお願いします。

  • WPA2の脆弱性について

    iosのセキリュティアップデートの記事でWPA2の脆弱性「Kracks」について書かれていたのですが、 https://internet.watch.impress.co.jp/docs/news/1089/292/amp.index.html これは結局どういう意味でしょうか。KracksはiPhoneでは動作しないということですか。

  • ブラウザーのゼロデイ脆弱性とは何ですか?

    https://forest.watch.impress.co.jp/docs/news/1305045.html 「Chrome」で発見でされたゼロデイ脆弱性、「Microsoft Edge 88」でも対処という記事があり、早速Win10 20H2のChromiumEdgeのバージョンを手動でアップデート致しました。ChromeもChromiumEdgeもChromiumというオープンソースを利用したブラウザなんで、共通項が多い様子です。Chromeがアップデートされれば、Edgeもアップデートという形が昨今多く、頻度が高くなってきたなと思って居ますが、 ゼロデイ脆弱性とは何でしょうか?教えてください。

  • 高速ファイル検察ツールEverythingについて

    https://forest.watch.impress.co.jp/docs/news/1317524.html Win10 20H2 PCにおいてエクスプローラー等はファイルの検索に時間がかかりますが、サードパーティ製のフリーソフトであるEverythingなら超高速でファイルの検索が可能だと聞いております。導入するメリットデメリットを教えてください。エクスプローラーで十分ですか?

  • Windowsメタファイルの脆弱性が発見された件

    数日前、「Windowsメタファイルの脆弱性」が発見されたらしいです。 某掲示板では「JPGとか、PNGとかBMPでも とにかくWindows(の画像ファイルエンジンであるshimgvw.dll)が扱える 拡張子だと、今回の脆弱性に引っかかる」との事です。 つまりウィルスを直接実行しなくてもそのフォルダに間接的にでも触れれば 即ウィルス感染するという脆弱性らしいです。 簡単に言えば、例のフォルダをゴミ箱に捨てる事ができたとしても、 ゴミ箱に触れると感染するとか・・・ この脆弱性は実質、どのくらい危ない物なんですか? WindowsUpdateでパッチが公開されるまでは、 画像も開けないような惨事でしょうか・・・ ?

  • ViXで圧縮ファイルのサムネイルが表示できない

    ViXを使って、ファイルの整理を行っています。ヘルプをみると、zipファイルやlzhファイルもフォルダと同じように展開しないで中のファイルのサムネイルが見れるようなことが書かれているのですが、見ることができません。unzip.dll,unlzh.dllはインストールしてあります。DLLが入っているということも、「ViXのバージョン表示をする」で確認できました。設定をどのようにすれば、フォルダの中の書庫ファイルを認識し、展開せずに中の画像などを閲覧することができるようになるのでしょうか?よろしくお願いします。

  • 脆弱性検知、NPSWF32.dll について

    Photoshop Elements 5.0 の脆弱性について質問させて頂きます。 私はPhotoshop Elements 5.0とPremiere Elements 3.0を使っています。 カスペルスキーを使って完全スキャンをしたところ、脆弱性が検知されました。 内容は (1)D:\Photoshop Elements 5.0\Plug-Ins\File Formats\BMP.8BI (2)D:\Premiere Elements 3.0\APD\Photo Downloader\plugins\BMP.8BI (3)D:\Photoshop Elements 5.0\Browser\plugins\NPSWF32.dll です。 (1)と(2)についてはパッチを上書きして解消されたのですが、(3)を解消するのにどうしたらいいのかわかりません。 adobeのフラッシュプレーヤーに原因があるのかと思い、一度、PCに入っているものをアンインストールして、最新版をインストールし直しましたが、相変わらず(3)の脆弱性が検知されました。 実は、完全スキャンをするきっかけになったのが、adobe Premiereを使って動画編集している時に「windows ホストプロセス(Rundll 32)は動作を停止しました」と言うエラーメッセージが出て、その後、動画・画像・音声の編集ソフトを使ったり、各種プレーヤーを使うと同じエラーメッセージが出るようになったのです。エラーメッセージは出るものの、ソフトもプレーヤーも使える状態ではありました。 このエラーメッセージは、動画編集で作った「mpeg」ファイルをPCから削除する事と、各種プレーヤーをアップデートする事で今は解消しております。 PCの事があまりよくわかっていないので、色々と経緯を書き、ややこしくなりましたが、「D:\Photoshop Elements 5.0\Browser\plugins\NPSWF32.dll」の脆弱性を解消する方法を教えて頂ければ幸いです。 OSはVISTAです。 宜しくお願い致します。

  • Everythingという超高速ファイル検索ソフト

    https://forest.watch.impress.co.jp/docs/news/1317524.html Everythingという超高速ファイル検索フリーソフトをインストールした場合、Win10 20H2のスタートアイコン右の、検索ボックスは機能しなくなるのでしょうか?このフリーソフトを使用した場合、MSの大型アップデート時に何か問題が起こる可能性はありますか?20H2のスタート右横の検索ボックスでのストレージ内部のファイルフォルダの検索は高速に検索できますか?検索ボックスがまずまず使えるなら、Everythingは必要ないと思いますが、どう思われますか?

  • iPhoneの脆弱性

    iPhoneの脆弱性について。 もうかなり前の話ですが、 http://gigazine.net/news/20161026-iphone-hack-jpeg-pdf/ で細工された画像やPDFファイルを開いただけで脆弱性を突かれるというiPhoneのセキリュティホールが発見されました(2016年10月)が、もしかしたらそれ以前(2016年10月以前)に該当の細工された画像を開いてしまっていた場合はもう手遅れではないですか? iPhone発売から2016年10月まではこの脆弱性がずっと放置されていたということなのですから。

  • Windows10のパッチリリースの不具合

    Windows 10の2021年8月Cパッチ+セキュリティ機能「EAF」でアプリやファイルが開けない問題と題して、 https://forest.watch.impress.co.jp/docs/news/1353730.html のような問題があるそうですが、良く意味が分からないのでほっといても構わないのでしょうか?教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する