Новости Исследователи обнаружили новые уязвимости в популярной утилите обработки изображений ImageMagick

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022

Оказывается, обычные картинки вполне можно использовать для проведения DoS-атаки.​


7cbqgqnh906uc6cft80kpui7x3qfur58.jpg


Исследователи из компании Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся двух уязвимостей в программном обеспечении Для просмотра ссылки Войди или Зарегистрируйся , представляющим из себя консольный редактор изображений, который зачастую используют для пакетной обработки растровых файлов. Найденные уязвимости потенциально могут привести к «падению» веб-сайтов и раскрытию конфиденциальной информации.

  • CVE-2022-44267 — DoS-уязвимость, возникающая при синтаксическом анализе изображения в PNG-формате с именем файла, состоящим из одного тире («-»).
  • CVE-2022-44268 — уязвимость раскрытия информации, которая может быть использована для чтения произвольных файлов с сервера при анализе изображения.

Стоит отметить, что обе уязвимости можно использовать только при использовании ImageMagick для прямой загрузки или обработки изображений на целевом веб-сайте.

Если в качестве имени для изображения указать «-» (дефис), сайт может зависнуть и перестать отвечать в попытках прочитать содержимое этого изображения. Аналогичным образом, если название изображения ссылается на реальный файл, расположенный на сервере, операция обработки изображения ImageMagick потенциально может дать к нему доступ, что позволит получить конфиденциальную информацию или встроить в файл вредоносный код.

Перечисленные выше уязвимости были устранены в ImageMagick 7.1.0-52, выпущенной в ноябре 2022 года.

Это не первый случай обнаружения уязвимостей в системе безопасности ImageMagick. Для просмотра ссылки Войди или Зарегистрируйся в программном обеспечении было обнаружено множество недостатков, один из которых, получивший название Для просмотра ссылки Войди или Зарегистрируйся , мог быть использован для удаленного выполнения кода при обработке изображений, отправленных пользователем.

А спустя несколько лет, в ноябре 2020 года, была обнаружена уязвимость внедрения оболочки, при которой злоумышленник мог вставлять произвольные команды при преобразовании зашифрованных PDF-файлов в изображения с помощью параметра командной строки «-authenticate».
 
Источник новости
www.securitylab.ru

Похожие темы