Новости Исследователи обнаружили новые уязвимости в популярной утилите обработки изображений ImageMagick

[Пригоршня]

​

Исследователи из компании Metabase Q раскрыли подробности двух уязвимостей в программном обеспечении ImageMagick, представляющим из себя консольный редактор изображений, который зачастую используют для пакетной обработки растровых файлов. Найденные уязвимости потенциально могут привести к «падению» веб-сайтов и раскрытию конфиденциальной информации.

• CVE-2022-44267 — DoS-уязвимость, возникающая при синтаксическом анализе изображения в PNG-формате с именем файла, состоящим из одного тире («-»).
• CVE-2022-44268 — уязвимость раскрытия информации, которая может быть использована для чтения произвольных файлов с сервера при анализе изображения.

Стоит отметить, что обе уязвимости можно использовать только при использовании ImageMagick для прямой загрузки или обработки изображений на целевом веб-сайте.

Если в качестве имени для изображения указать «-» (дефис), сайт может зависнуть и перестать отвечать в попытках прочитать содержимое этого изображения. Аналогичным образом, если название изображения ссылается на реальный файл, расположенный на сервере, операция обработки изображения ImageMagick потенциально может дать к нему доступ, что позволит получить конфиденциальную информацию или встроить в файл вредоносный код.

Это не первый случай обнаружения уязвимостей в системе безопасности ImageMagick. В мае 2016 года в программном обеспечении было обнаружено множество недостатков, один из которых, получивший название ImageTragick, мог быть использован для удаленного выполнения кода при обработке изображений, отправленных пользователем.

А спустя несколько лет, в ноябре 2020 года, была обнаружена уязвимость внедрения оболочки, при которой злоумышленник мог вставлять произвольные команды при преобразовании зашифрованных PDF-файлов в изображения с помощью параметра командной строки «-authenticate».