Nigdy nie można być pewnym, bo zawsze może ktoś wykorzystać jakiś błąd, lukę, mechanizm stworzony do zupełnie czego innego. W tym przykładzie, podanym przez Ciebie @majo, szkodliwe oprogramowanie wykorzystuje czytanie metadanych pliku (EXIF) i wykonywanie kodu tam zapisanego przez PHP. Prawdopodobnie szkodliwe jest, to - z punktu widzenia user’a desktop’owego - podczas otwierania obrazka przez przeglądarkę, na stronie; ale już nie przez viewer’a jakiegoś lokalnie, bo najpewniej zabranie PHP, które nie jest standardowo instalowane (no chyba, że piszesz w PHP’ie).
Nie widzę jednak przeszkód, aby kod przeczytany z EXIF’a, albo wyciągnięty ze steganografii wykonać za pomocą czegokolwiek innego, niż PHP.
Oczywiście, jeśli się najpierw pobierze kod, to potem można go wykonać (lub zrobić z nim cokolwiek). Jednak wymaga to dwóch działań:
wyłuskanie kodu,
jego wykonanie.
A ja się zastanawiam, czy, zakładając, że mamy aktualny system, oszuści mogą (w jakiś sposób”?) wymusić aktywację kodu ukrytego w .jpg, w momencie otwarcia “zmodyfikowanego” pliku w viewnior czy też sprawdzenia EXIF za pomocą tego pakietu?
Generalnie rzecz biorąc - tak, bo aktualny nie znaczy wolny od błędów.
Czy ‘tak’ również w przypadku tej aplikacji? O to pytaj developer’ów Viewnior’a, albo przeanalizuj szczegółowo działanie programu. Zdarzało się już, że Adobe Reader, wszystkomający (i wszystko domyślnie mający włączone), otwierał zainfekowanego PDF’a i to wystarczyło. Podobny problem jest z MS Office’em i obsługiwanymi przez niego skryptami.
Czy tak jest z Viewnior’em? Zapewne nie, bo program jest znacznie mniej złożony i obsługuje znacznie mniej funkcjonalności, ale … gdyby pojawił się jakiś błąd, który mógłby być wykorzystany przez złych ludzi, to jasne, że tak.
Powiem Ci jakie jest moje podejście do tematu, na przykładzie ‘konfiguracji obsługi PDF’ów’ w Windows’ach. Informuję użytkownika o celu takich działań i:
instaluję SumatraPDF, który to program (chodzi dobrze pod Wine) jest mały, szybki i zgrabny;
ustawiam go jako domyślny dla .pdf, bo potrafi przeczytać PDF’a, ale bez bajerów typu link’i, formularze, skrypty, etc.;
instaluję Foxit Reader (jest mocno okrojona wersja, pod Linux’a), który nie jest tak wołowaty i dziurawy jak Adobe Reader, za to ma zaawansowane funkcje, których brak (i słusznie) Sumatrze.
W ten sposób, jeżeli gapowaty user trafi na zainfekowany dokument, to otworzy go błyskawicznie w Sumatrze i najprawdopodobniej nic złego się nie stanie, a jeżeli będzie chciał wypełnić formularz w PDF’ie, to zrobi, to otwierając go - z ręki - w Foxit Reader’ze.
Podobnie mam u siebie na Linux’ie: domyślnie otwieram PDF’y w prostym i szybkim mupdf, a jeżeli potrzebuję czegoś więcej (bardzo czasem), to używam Evince (lub czegoś innego, w zależności od potrzeby).
EDIT-20200314-2024 … w charakterze prostego i szybkiego viewer’a pierwszego kontaktu dla obrazów używam qimgv (AUR). Mam również Viewnior’a i kilka innych programów do przeglądania/edycji grafiki - używam ich, w zależności od zróżnicowanych potrzeb.