NEWS(12/06/04 13:39)
「IrfanView PlugIns」に含まれるプラグインに“Highly critical”の脆弱性
「IrfanView PlugIns」自体は未更新、脆弱性のあるプラグイン単体は修正済み
デンマークのセキュリティベンダーSecunia ApSは5月31日、定番画像ビューワー「IrfanView」のプラグイン集「IrfanView PlugIns」に含まれるプラグインに脆弱性が存在することを公表した。脆弱性が存在するのは、ECW形式の画像を表示・保存するためのプラグイン“ECW plugin”v4.33以前で、Secuniaによる深刻度の評価は5段階中2番目に高い“Highly critical”とされている。
脆弱性の詳細は、特殊な細工の施されたECWファイルを開くと、任意のコードを実行される可能性があるというもの。
またSecuniaは6月1日、「IrfanView PlugIns」に含まれるXPM/PIC/DNGなどを表示するためのプラグイン“Formats PlugIn”にも脆弱性が存在することを公表した。深刻度の評価は5段階中3番目に高い“Moderately critical”とされており、細工の施されたファイルを開くことでリモートから任意のコードを実行される可能性があるという。
なお、現在のところ「IrfanView PlugIns」は更新されておらず、アーカイブ内の“ECW plugin”“Formats PlugIn”もv4.33のままとなっているが、「IrfanView」の作者サイトでは脆弱性を修正した“ECW plugin”v4.34および“Formats PlugIn”v4.34単体のインストーラーとZIPファイルが配布されている。また、更新された両プラグインを窓の杜ライブラリからダウンロードすることも可能だ。