画像ビューワーVIXに脆弱性
2000一桁年代に人気を博した画像ビューワーVIXに脆弱性が存在することが明らかになった。
JVN#56764650: ViX における DLL 読み込みに関する脆弱性
VIXとは、統合画像管理ソフトである。2000年代に登場し、今で言うところの、iOSの写真アプリや、Androidのギャラリーに近い操作感、エクスプローラとの親和性の高さなどの特徴があり、非常に高い人気を博した。特にデジカメの画像管理で重宝したユーザーは多数残存していると思われる。私も、その昔使っていたし、今でもフリーで画像管理をしたいと言われてまず思い浮かぶのはこのアプリケーションだろう。
今回VIXで発覚した脆弱性は、同一ディレクトリに存在する不正なDLLを読み込んでしまうと言うもので、ウイルスが混入したバージョンを用いると、比較的容易にウイルス感染させることが可能なもの。VIXのほか、同年代のソフトだとWinShotなどもこの脆弱性を抱えている。なお、Winshotに関しては、現在配布されているバージョンでは、脆弱性は修正済みの様子。
JVN#71816327: JTrim のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN71816327/
ちなみに、WinShotも優れたアプリケーションで、私は当時(2008年とか、そこいら)、PCを再セットアップすると、WinShotとVIXを必ず入れていた。
昨今、こういった長寿アプリケーションの開発終了/開発停止により、長期にわたり放置されたバグが発覚するケースが多発している。多くの作者とすでに連絡が取れなくなっているために、使用を停止するしか脆弱性の影響を回避できないのも大きな問題だ。また、作者と連絡が取れたとしても、保守コストの増大や、開発者のライフスタイルの変化で、開発が停止するアプリケーションも多い。
先日は、tfpクライアントのFFFTPも開発が止まった。OSSに移管されたがその後引き継いだ開発者も、開発からは手を引く方針だそうだ。
開発終了→オープンソース化で生き長らえたFTPソフト「FFFTP」、今度こそ終了か?【やじうまWatch】 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/yajiuma/1088128.html
こういった往年のアプリケーションの開発が止まってしまうのは、一つの時代が終わるようでもの悲しい。しかし、同年代のフリーソフトの大半が、おそらく中身はゴリゴリのWin32API実装だろうし、FFFTPなんかはCで実装されているそうで、無償で保守するのはしんどいのかもしれない。
1ユーザーとして、これまで使用させていただいたことに感謝しつつ、作者様のご健勝を祈るばかりである。(そしてもし元気なら…また新作がみれると嬉しいなぁ。)