みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

pngの脆弱性とgoogle類似画像検索について

png画像には脆弱性があると知り、それを知ってからなるべく開かずに
これまできたのですが、最近気が緩みふとgoogle類似画像検索を使用したとき、
参照先にpngを置いてしまい、サイトを通してですが表示してしまいました
この場合直接画像を開いた時と同じ状況になるのでしょうか?
それともサイトを通しているので直接表示扱いにならず、
その画像がもし悪意あるものでも感染しないのでしょうか?
そしてpngの脆弱性を利用したウイルス感染は
ウイルスセキュリティソフトで駆除できるのでしょうか?
使用OSは7 ブラウザはgoogle chrome 
ウイルスセキュリティはカスペルスキー2013です
回答よろしくお願い致します。

投稿日時 - 2013-08-11 18:47:36

QNo.8215460

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

1人が「このQ&Aが役に立った」と投票しています

回答(1)

ANo.1

公式な脆弱性開示情報は視ましたか。
そしてブラウザなりアプリ=WindowsUpdateの適用とか、
libpng表示ライブラリ(共通するソフト)のアップデートはしましたか。

日本マイクロソフトTeckNet(Windows公式)
MS13-051、公開日: 2013年6月12日
Microsoft Office の脆弱性により、リモートでコードが実行される
https://technet.microsoft.com/ja-jp/security/bulletin/ms13-051
対象=Microsoft Office 2003 Service Pack 3(Outlook2003とWordが連携するとき。
サポート切れのため、Office 2007 やOffice 2010 への移行を強く推奨)
対象=Microsoft Office for Mac 2011(Microsoft AutoUpdate for Mac を使用して更新配布)

これの元情報の脆弱性データベース、 CVE-2013-1331
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1331

もう一方、
JVN脆弱性データベース、最終更新日:2012/09/26
JVNVU#523889
libpng に整数オーバーフローの脆弱性
http://jvn.jp/cert/JVNVU523889/
対象=フェンリルpictbear(Windows無料ペイントアプリ。現行バージョン2.0.4で対策済み)
http://blog.fenrir-inc.com/jp/2012/02/pictbear-2-0-4.html
対象=富士通のサーバーにサプライされているSolaris OS環境
http://software.fujitsu.com/jp/security/vulnerabilities/vu523889.html
対象=NECのWindowsサーバ上画像処理・配信アプリInfoFrameシリーズ
http://jpn.nec.com/security-info/secinfo/nv12-009.html

libpng表示ライブラリ(共通するソフト)はオープンソース開発の物です。
http://libpng.sourceforge.net/index.html
(上記JVN該当製品で、日本マイクロソフトは該当製品なし報告を掲載しています。
アプリが同梱しているlibpngを用いる部分が問題で、OS側で脆弱性は持っていません)
公開最新版は 13,017 (This Week)Last Update: 2013-07-18
http://sourceforge.net/projects/libpng/
ですが、公式サイトでlibpng-1.5.17 and libpng-1.6.3も現行改訂版とあり、
使う元のソフトとのインターフェース違いで複数バージョンが供給されています。
上記NECのInfoFrameシリーズではlibpng-1.2系を同梱と明示し対策済み。
開発者むけの把握抜きで不用意にlibpngバイナリのみ差し替えせず、
アプリやシステム提供側の公式アップデートに従ってかまいません。

投稿日時 - 2013-08-11 20:24:21

あなたにオススメの質問