Исследователи обнаружили новые уязвимости в популярной утилите обработки изображений ImageMagick

Исследователи обнаружили новые уязвимости в популярной утилите обработки изображений ImageMagick

Оказывается, обычные картинки вполне можно использовать для проведения DoS-атаки.

image

Исследователи из компании Metabase Q раскрыли подробности двух уязвимостей в программном обеспечении ImageMagick , представляющим из себя консольный редактор изображений, который зачастую используют для пакетной обработки растровых файлов. Найденные уязвимости потенциально могут привести к «падению» веб-сайтов и раскрытию конфиденциальной информации.

  • CVE-2022-44267 — DoS-уязвимость, возникающая при синтаксическом анализе изображения в PNG-формате с именем файла, состоящим из одного тире («-»).
  • CVE-2022-44268 — уязвимость раскрытия информации, которая может быть использована для чтения произвольных файлов с сервера при анализе изображения.

Стоит отметить, что обе уязвимости можно использовать только при использовании ImageMagick для прямой загрузки или обработки изображений на целевом веб-сайте.

Если в качестве имени для изображения указать «-» (дефис), сайт может зависнуть и перестать отвечать в попытках прочитать содержимое этого изображения. Аналогичным образом, если название изображения ссылается на реальный файл, расположенный на сервере, операция обработки изображения ImageMagick потенциально может дать к нему доступ, что позволит получить конфиденциальную информацию или встроить в файл вредоносный код.

Перечисленные выше уязвимости были устранены в ImageMagick 7.1.0-52, выпущенной в ноябре 2022 года.

Это не первый случай обнаружения уязвимостей в системе безопасности ImageMagick. В мае 2016 года в программном обеспечении было обнаружено множество недостатков, один из которых, получивший название ImageTragick , мог быть использован для удаленного выполнения кода при обработке изображений, отправленных пользователем.

А спустя несколько лет, в ноябре 2020 года, была обнаружена уязвимость внедрения оболочки, при которой злоумышленник мог вставлять произвольные команды при преобразовании зашифрованных PDF-файлов в изображения с помощью параметра командной строки «-authenticate».

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!