NEWS（12/06/25　15:52）

　デンマークのセキュリティベンダーSecunia ApSは22日（現地時間）、画像ビューワー「IrfanView」で“DjVu（デジャヴ）”イメージを開くためのプラグイン「DJVU PlugIn」に脆弱性が存在することを公表した。本プラグインは「IrfanView」のプラグイン集「IrfanView PlugIns」に含まれている。

　“DjVu”は、テキストを含む画像データの圧縮に特化したフォーマットで、一般的な圧縮画像フォーマットに比べ、圧縮率が非常に高いのが特長。また、テキストやハイパーリンクの埋め込みに対応しており、テキストの選択やWebページの表示なども可能。

　今回公表された脆弱性は、「DJVU PlugIn」が“DjVu”イメージを展開する処理に不具合があり、ヒープベースのバッファオーバーフローが発生するというもの。最悪の場合、細工が施されたファイルを開くだけで、任意のコードが実行される恐れがある。そのため、Secuniaは本脆弱性の深刻度を5段階中2番目に高い“Highly critical”と評価している。

　本脆弱性は、「IrfanView PlugIns」の現行版v4.33に含まれる「DJVU PlugIn」に影響する。脆弱性が修正済みの「DJVU PlugIn」は、アップデート差分として別途配布されており、「IrfanView」の公式サイトや窓の杜ライブラリからダウンロードできる。