脆弱性ポータルサイト“JVN”は13日、老舗の画像ビューワー「ViX」に脆弱性が存在することを発表した。DLLを読み込む際の検索パスに問題があり、画像ファイルと同じフォルダーに存在する特定のDLLを誤って読み込んでしまう恐れがあるという。最悪の場合、プログラムを実行している権限で任意のコードを実行される可能性がある。

“JVN”の脆弱性レポートによると、本脆弱性の深刻度は“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”。開発者と連絡が取れないため、本脆弱性の対策状況は不明であるという。“JVN”は「ViX」の利用中止を検討するよう呼び掛けている。

なお、「ViX」の開発者サイトはニフティの個人向けホームページサービスの終了により消失しているが、ベクターのライブラリにおける配布は継続されており、「ViX」の入手は依然可能な状態だ。

お詫びと訂正：記事初出時、脆弱性の深刻度に関する記述に誤りがございました。お詫びして訂正いたします。