40 Sicherheitslücken in ImageMagick geschlossen

Angreifer können insgesamt an 40 Schwachstellen in ImageMagick ansetzen, um Computer zu attackieren. Nach erfolgreichen Angriffen kommt es in erster Linie zu DoS-Zuständen und somit zu Abstürzen. Bislang gibt es seitens des Softwareherstellers keine Hinweise auf laufende Attacken. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Verschiedene Gefahren

Mit der freien Bildbearbeitungssoftware erstellt und bearbeitet man Raster- und Vektorgrafiken. Im Sicherheitsbereich der GitHub-Website des Projekts sind weiterführende Informationen zu den in den Ausgaben 6.9.13-40 und 7.1.2-15 geschlossenen Lücken aufgeführt. Von den 40 gelösten Sicherheitsproblemen sind acht mit dem Bedrohungsgrad „hoch“ eingestuft.

So kommt es etwa bei der Verarbeitung von SVG-Dateien zu Fehlern und es werden rund 674 GB Speicher beansprucht, was zu Abstürzen führt (CVE-2026-25985). Die Verarbeitung von PSD-Dateien mit einem ZIP-Compressed-Layer führt ebenfalls zu Abstürzen (CVE-2026-24481). Im Kontext von Speicherfehlern kommt es oft nicht nur zu DoS-Zuständen, sondern es kann auch Schadcode auf Systeme gelangen.

Wie solche Attacken im Detail ablaufen könnten, ist bislang unklar. Die knappen Beschreibungen der Schwachstellen lassen aber darauf schließen, dass Opfer eine von einem Angreifer präparierte Datei öffnen müssen, um eine Attacke einzuleiten. Im Kontext von Webanwendungen liegt es nahe, dass der Upload einer präparierten Datei Schaden anrichten kann.

Weitere mögliche Attacken

Der Großteil der verbleibenden Softwareschwachstellen ist mit dem Bedrohungsgrad „mittel“ versehen. In diesen Fällen können Angreifer unter anderem ebenfalls Speicherfehler auslösen oder die CPU zu 100 Prozent auslasten (CVE-2026-26283 „mittel“). Außerdem kann es zu Memoryleaks kommen.

(des)