ImageMagick缓冲区溢出和拒绝服务漏洞

漏洞起因
设计错误
危险等级

影响系统
ImageMagick 6.x

不受影响系统

危害
远程攻击者可以利用漏洞使应用程序崩溃或可执行任意代码。

攻击所需条件
攻击者必须构建恶意图像,诱使用户解析。

漏洞信息
ImageMagick是一个图象处理软件。
ImageMagick存在安全漏洞,允许攻击者进行拒绝服务和执行任意代码。
-当解析EXIF IFD0中ResolutionUnit标签中的偏移值和计数值时存在错误,构建特制图像可破坏内存,成功利用漏洞可导致任意代码执行。
-当解析IFD中所有IOP标签偏移指向IFD自身开始处的恶意图像时,结果可使ImageMagick循环解析IFD结构,导致拒绝服务攻击。

测试方法

厂商解决方案
ImageMagick 6.7.5-1已经修复此漏洞,建议用户下载使用:
http://www.imagemagick.org/

漏洞提供者
Mr Joonas Kuorilehto and Mr Aleksis Kauppinen

评论关闭。