【CVE-2024-11545】IrfanView 4.67.0.0にUse-After-Free脆弱性、DXFファイル解析時に任意コード実行の危険性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

IrfanViewのDXFファイル解析に脆弱性が発見
Use-After-Free脆弱性により任意のコード実行が可能
悪意のあるファイルを開くことで攻撃を受ける可能性

IrfanView 4.67.0.0のUse-After-Free脆弱性

Zero Day Initiativeは2024年11月22日、画像編集ソフトウェアIrfanViewのDXFファイル解析機能にUse-After-Free脆弱性が存在することを公開した。この脆弱性はZDI-CAN-24709として報告され、CVSSスコアは7.8と高い深刻度を示している。^[1]

この脆弱性はIrfanView 4.67.0.0に影響を与えており、オブジェクトの存在確認が適切に行われないままオブジェクトに対する操作を実行することで発生する。攻撃者は悪意のあるDXFファイルを作成し、ユーザーにそのファイルを開かせることで任意のコードを実行できる可能性がある。

攻撃を成功させるためにはユーザーの操作が必要となるものの、CVSSスコアが示すように攻撃の難易度は低く設定されている。特権は不要だが、攻撃の影響範囲は現在のプロセスのコンテキスト内に限定されるため、システム全体への直接的な影響は抑制される仕組みとなっている。

脆弱性の詳細情報まとめ

項目	詳細
CVE番号	CVE-2024-11545
影響を受けるバージョン	IrfanView 4.67.0.0
脆弱性の種類	Use-After-Free
CVSSスコア	7.8 (HIGH)
攻撃の条件	ユーザーの操作が必要
報告ID	ZDI-CAN-24709

Use-After-Freeについて

Use-After-Freeとは、既に解放されたメモリ領域に対してアクセスを試みることで発生する脆弱性の一種である。主な特徴として以下のような点が挙げられる。

解放済みメモリへの不正アクセスによって発生
メモリ破壊や情報漏洩のリスクが存在
任意のコード実行につながる可能性がある

IrfanViewのDXFファイル解析機能における今回の脆弱性も、このUse-After-Freeの典型的な例となっている。オブジェクトの存在確認が適切に行われないまま操作を実行することで、攻撃者による悪意のあるコード実行を許してしまう可能性がある特に深刻な問題として認識されている。

IrfanViewの脆弱性に関する考察

IrfanViewは広く使用されている画像編集ソフトウェアであり、この脆弱性の影響範囲は決して小さくないと考えられる。DXFファイルは工業用設計データとして一般的に使用されており、業務利用における攻撃のリスクが特に懸念されるところだ。対策としては、信頼できない送信元からのDXFファイルを開かない運用の徹底が求められるだろう。

今後は同様の脆弱性を防ぐため、ファイル解析時のメモリ管理やオブジェクトの検証をより厳密に行う必要がある。特にCADデータなど複雑なファイルフォーマットを扱う際は、入力検証やメモリ管理により慎重な実装が求められるはずだ。セキュリティ対策の強化と機能の両立が、今後の開発における重要な課題となるだろう。

長期的には、セキュアコーディングの観点からコードベース全体の見直しも検討に値する。特にレガシーコードの modernization とセキュリティ強化を同時に進めることで、より安全な製品への進化が期待できるはずだ。ユーザーの利便性を損なうことなく、セキュリティを向上させる取り組みに期待したい。