NEWS(12/06/25 15:52)

画像ビューワー「IrfanView」用のプラグイン「DJVU PlugIn」に緊急性の高い脆弱性

利用している場合は、プラグイン集とは別に配布されている最新版へ更新しよう

「DJVU PlugIn」「DJVU PlugIn」

 デンマークのセキュリティベンダーSecunia ApSは22日(現地時間)、画像ビューワー「IrfanView」で“DjVu(デジャヴ)”イメージを開くためのプラグイン「DJVU PlugIn」に脆弱性が存在することを公表した。本プラグインは「IrfanView」のプラグイン集「IrfanView PlugIns」に含まれている。

 “DjVu”は、テキストを含む画像データの圧縮に特化したフォーマットで、一般的な圧縮画像フォーマットに比べ、圧縮率が非常に高いのが特長。また、テキストやハイパーリンクの埋め込みに対応しており、テキストの選択やWebページの表示なども可能。

 今回公表された脆弱性は、「DJVU PlugIn」が“DjVu”イメージを展開する処理に不具合があり、ヒープベースのバッファオーバーフローが発生するというもの。最悪の場合、細工が施されたファイルを開くだけで、任意のコードが実行される恐れがある。そのため、Secuniaは本脆弱性の深刻度を5段階中2番目に高い“Highly critical”と評価している。

 本脆弱性は、「IrfanView PlugIns」の現行版v4.33に含まれる「DJVU PlugIn」に影響する。脆弱性が修正済みの「DJVU PlugIn」は、アップデート差分として別途配布されており、「IrfanView」の公式サイトや窓の杜ライブラリからダウンロードできる。

(柳 英俊)