Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Chrome機能拡張「EXIF Viewer」の脆弱性 - 数年越しの調整

「Chrome」向けに提供されている拡張機能「EXIF Viewer Classic」の脆弱性が公表された。数年を経て調整が行われたもので、最新版については脆弱性の影響を受けないという。

同ソフトは、画像データのメタデータである「Exif(Exchangeable image file format)」を確認できるツール。「同2.3.2」「同2.4.0」においてクロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-23362」が指摘されていた。

細工された「Exifメタデータ」を含む画像を処理すると、ブラウザ上で任意のスクリプトが実行されるおそれがあるという。JPCERTコーディネーションセンターでは、共通脆弱性評価システム「CVSSv3.0」のベーススコアを「6.1」と評価している。

同脆弱性は、三井物産セキュアディレクションの東内裕二氏、森田浩平氏が情報処理推進機構(IPA)へ報告したもので、JPCERT/CCが調整を行っていた。

開発ベンダーとは数年間にわたり連絡が取れない状況にあり、一時「連絡不能開発者一覧」にも追加されていたが、その後調整が可能となったという。

開発者は、同ソフトにおいてコード全般の見直しを実施。最新版である「同3.0.1」では、「CVE-2025-23362」の影響を受けないとしており、最新版へアップデートするよう呼びかけられている。

(Security NEXT - 2025/01/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「SharePoint Server」の複数脆弱性悪用で対策呼びかけ - 米当局
データ分析可視化製品「Ivanti Xtraction」に複数脆弱性
「FortiOS」に複数脆弱性 - アップデートで修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Dell PowerFlex」に深刻な脆弱性 - 6月の更新で修正済み
米CISA、「FortiSandbox」「SharePoint」の脆弱性悪用を警告
「SAP」が月例更新、16件の新規アドバイザリ - 3件が「クリティカル」
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃