RSS

カテゴリー : 2018年 3月

画像ビューワーVIXに脆弱性

2000一桁年代に人気を博した画像ビューワーVIXに脆弱性が存在することが明らかになった。

JVN#56764650: ViX における DLL 読み込みに関する脆弱性

https://jvn.jp/jp/JVN56764650

VIXとは、統合画像管理ソフトである。2000年代に登場し、今で言うところの、iOSの写真アプリや、Androidのギャラリーに近い操作感、エクスプローラとの親和性の高さなどの特徴があり、非常に高い人気を博した。特にデジカメの画像管理で重宝したユーザーは多数残存していると思われる。私も、その昔使っていたし、今でもフリーで画像管理をしたいと言われてまず思い浮かぶのはこのアプリケーションだろう。

今回VIXで発覚した脆弱性は、同一ディレクトリに存在する不正なDLLを読み込んでしまうと言うもので、ウイルスが混入したバージョンを用いると、比較的容易にウイルス感染させることが可能なもの。VIXのほか、同年代のソフトだとWinShotなどもこの脆弱性を抱えている。なお、Winshotに関しては、現在配布されているバージョンでは、脆弱性は修正済みの様子。

JVN#71816327: JTrim のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN71816327/

ちなみに、WinShotも優れたアプリケーションで、私は当時(2008年とか、そこいら)、PCを再セットアップすると、WinShotとVIXを必ず入れていた。

昨今、こういった長寿アプリケーションの開発終了/開発停止により、長期にわたり放置されたバグが発覚するケースが多発している。多くの作者とすでに連絡が取れなくなっているために、使用を停止するしか脆弱性の影響を回避できないのも大きな問題だ。また、作者と連絡が取れたとしても、保守コストの増大や、開発者のライフスタイルの変化で、開発が停止するアプリケーションも多い。

先日は、tfpクライアントのFFFTPも開発が止まった。OSSに移管されたがその後引き継いだ開発者も、開発からは手を引く方針だそうだ。

開発終了→オープンソース化で生き長らえたFTPソフト「FFFTP」、今度こそ終了か?【やじうまWatch】 – INTERNET Watch
https://internet.watch.impress.co.jp/docs/yajiuma/1088128.html

こういった往年のアプリケーションの開発が止まってしまうのは、一つの時代が終わるようでもの悲しい。しかし、同年代のフリーソフトの大半が、おそらく中身はゴリゴリのWin32API実装だろうし、FFFTPなんかはCで実装されているそうで、無償で保守するのはしんどいのかもしれない。

1ユーザーとして、これまで使用させていただいたことに感謝しつつ、作者様のご健勝を祈るばかりである。(そしてもし元気なら…また新作がみれると嬉しいなぁ。)

Office互換機能パックが廃止に

2018年4月より、旧来のOfficeとの互換性を保つため配布されていたOffice互換機能パックが廃止。同時に配布も中止される。

Download Word、Excel、および PowerPoint ファイル形式用の Microsoft Office 互換機能パック from Official Microsoft Download Center
https://www.microsoft.com/ja-jp/download/details.aspx?id=3

リンクはまだ生きているので、ダウンロードはお早めに。

思い返せば、Office2007が登場したときのブーイングは激しく、暫くの間は、ほとんどの人が互換機能パックをインストールしていた時期があった。特に、officeXPから2003間での間はUIのデザインが変わっただけの違いしか感じることができず(2000→XPだとオートSUMや以上終了時の救済機能などが追加された)、officeはアップグレードしない人も多かった。家庭用マシンでは、マシンの買い換えに応じてofficeのバージョンが上がっていったため、職場が2007に上がり、自宅と職場で操作方法が異なり戸惑った(仕事を家に持って帰らざるをえない)がんばるお父さん方はたくさんいらっしゃったことだろう。

そう言えばOffice2007のベータ版とか有った気がするが記憶が定かではない。

その後2007になりUIが変わり、2013ではPowerPointのグリッド機能が強化されたり、張り付け時の形式がプレビューできるようになったりと徐々に進化してきた。2016では、PowerQueryを内包したり、TeX形式での数式記述が可能になったりするなどの機能強化が行われている。あれほどブーイングを浴びたリボンインターフェースも今ではすっかり市民権を得ている。あのとき文句を言ったおじさんたちは、今どんな気持ちなんだろう。

変わったのはUIだけではない。ライセンス形態も変化し 2013以降では、基本的にサブスクリプションを前提としたライセンス形態となった。日本では従来のOEMバンドル版の需要が多数であったため特殊なライセンス形態が用意された。個人向けにはOffice365 soloが、法人向けにはOffice365 ProPlusが用意された。ちなみに、現在ProPlusは個人でも契約可能で、soloと対して違わない料金で1アカウント当たり5つのデバイスをサポートするので実はお得である。

2017年には、拡張子にxが追加された(つまりこの互換機能パックが作られる原因となった)初期バージョンの2007のサポートが終了し、法人でも移行が進んでいる。この、2007のサポートが終わったことで、互換機能パックの役目も終わったと考えるべきだろう。

現在、2007のサポートすら終わっているわけだが、企業内部だと未だに2003が生きている場合が多くあるだろう。特にaccessは途中からデータ形式が変わったので、更新が止まっている所は多いのではないだろうか。wordやExcelに関しても、ただの簡易編集機能付きビューワーとして使われている事例が多くありそうだ。

しかし、こういったレガシーの放置は、結局のところ保守コストの増大にしか貢献しない気がしてならないのは私だけだろうか。互換機能パックの更新停止は寂しさもあるが、有る程度のレガシー切り捨てはむしろ評価すべきだなぁと感じた。