US-CERT近日针对一款流行的图片处理工具中存在的零日漏洞发布了安全公告。

一款用于内容管理系统、社交媒体及其他Web服务器的流行的开源图片处理工具近日爆出存在安全漏洞，该漏洞可能会让攻击者夺取那些系统的控制权。

在功能完备的补丁发布之前，研究人员昨天披露了ImageMagick工具库存在的安全漏洞的细节，因为相关漏洞已经在网上肆虐。与此同时，Metasploit模块已开发完毕，正接受公众评议。

美国计算机安全紧急响应小组（US-CERT）今天发布了一份关于该漏洞的公告；特别指出：ImageMagick的开发人员已经发布了该软件的更新版：7.0.1-1和6.9.3-10。但是发现并研究该漏洞的研究公司表示，补丁“并不完整”。

Metasploit渗透测试框架的开发者HD·摩尔（HD Moore）及其他安全专家表示，该安全漏洞值得注意，而且可能很严。，不过好消息是，一些配置未必面临风险。更何况，图片攻击远不如其他许多Web漏洞一样容易得逞。

ESET的安全研究人员卡梅伦·坎普（Cameron Camp）说：“眼下是有一些容易中招的对象。”他会在本周于拉斯维加斯举行的Interop 2016大会上阐述恶意软件。坎普表示，攻击者更有可能扫描其他较简单的安全漏洞，或者钻敞开端口的空子。

一些Web平台拥有过滤机制，先对内容进行过滤，然后发送到ImageMagick库，因而攻击未必对所有网站来说都很致命。摩尔说：“面临风险最大的是让用户可以上传媒体的Web应用程序。这适用于论坛、内容管理系统、图片公告栏以及各种社交媒体网络。许多博客和托管平台也支持ImageMagick这种插件，但是那些大多数需要拥有有效的用户帐户，之后才可以上传媒体。”

ImageMagick这种工具可以为上传到Web服务器的图片调整大小。坎普说：“PHP函数调用ImageMagick，为照片调整大小。如果你能假冒ImageMagick，就有了特权用户情况。”

Mail.Ru的尼古拉夫·厄米什金（Nikolay Ermishkin）为发现ImageMagick中的几个漏洞立下了汗马功劳，包括CVE-2016-3716漏洞，这个漏洞让攻击者可以在受害者的服务器上远程运行代码。该漏洞之所以会存在，是由于对文件名过滤不足，因而攻击者可以将恶意代码偷偷植入到文件转换进程。

第二个漏洞即CVE-2016-3716被称为是“文件移动”漏洞，让攻击者可以使用ImageMagick的“msl”协议，将任何文件夹中的某个图片文件更换成另一个文件扩展名。Mail.Ru在近日的一篇文章中写道：“在实际情况下，它可能是用PHP编写的Web 服务，这允许上传原始的txt文件，并使用ImageMagick处理图片。”

总共有五个安全漏洞，它们统称为“ImageTragick”。

摩尔说：“可能比较小但是危险性更大的场景是，系统自动处理由不靠谱的用户存储的媒体。比如说，使用ImageMagick为用户上传的照片生成缩略图的照片库服务。”

与此同时，专家们建议先验证所有的图片文件，然后将它们发送到ImageMagick进行格式化处理，另外使用策略文件，禁用易受攻击的ImageMagick编码器。

云头条编译｜未经授权谢绝转载