Schwachstelle in ImageMagick
Speziell präparierte Namen können ein Programm, das die Zusammenstellung von freien Grafiktools zum Konvertieren, Editieren und Erstellen von Bildern benutzt, zum Absturz bringen.
Tavis Ormandy hat eine Format-String-Schwachstelle in ImageMagicks Behandlung von Dateinamen gemeldet. ImageMagick ist eine Zusammenstellung von freien Grafiktools zum Konvertieren, Editieren und Erstellen von Bildern in vielen Formaten. Speziell präparierte Namen können ein Programm, das ImageMagick benutzt, zum Absturz bringen. Schlimmstenfalls könnte dadurch beliebiger Code ausgeführt werden.
ImageMagick wird oft von Web-Frontends zur Bildbearbeitung eingesetzt. Falls diese Web-Anwendungen Uploads von Bildern mit beliebigen Dateinamen zulassen, könnte ein Angreifer sich dadurch weitere Rechte erschleichen. Laut dem Hersteller ist dieses Problem in der Version 6.2.0-3 Beta gelöst. Ormandy aus dem Gentoo Linux Security Audit Team entdeckte diesen Bug, als er eine MPEG-Datei in Einzelbilder konvertieren wollte.
Siehe dazu auch: (eck)
- Downloads auf imagemagick.org
- Security Notice von Ubuntu
