ImageMagick lässt sich Befehle unterschieben
Das weit verbreitete Bildverarbeitungs- und -Anzeigeprogramm ImageMagick lässt sich über präparierte Dateinamen dazu bringen, beliebige Befehle und möglicherweise auch eingeschleusten Code auszuführen.
Das weit verbreitete Open-Source-Bildverarbeitungs- und -Anzeigeprogramm ImageMagick lässt sich über präparierte Dateinamen dazu bringen, beliebige Befehle und möglicherweise auch eingeschleusten Code auszuführen. Ubuntu ist der erste Linux-Distributor, der heute die Lücken mit aktualisierten Paketen schließt.
Angreifer könnten beispielsweise über E-Mails mit präparierten Links die Schwachstellen ausnutzen. Die Lücken wurden schon Ende letzten Jahres entdeckt. Wie die Fehler korrekt zu beseitigen seien, war jedoch Gegenstand mehrtägiger Diskussionen im Debian-Bugtracking-System.
In KĂĽrze dĂĽrften auch die anderen Linux-Distributoren mit aktualisierten Paketen nachziehen. Bis dahin sollten betroffene Anwender Links auf Grafiken etwa in E-Mails nicht folgen.
Siehe dazu auch: (dmk)
- imagemagick vulnerabilities, Security Notice von Ubuntu
- ImageMagick Image Filename Remote Command Execution Vulnerability, Ăśbersicht auf SecurityFocus
- Shell command injection in delegate code (via file names), Meldung und Diskussion im Debian-Bugtracking-System
- imagemagick: New format string vulnerability in SetImageInfo(), Meldung und Diskussion im Debian-Bugtracking-System
- libmagick: array index overflow in DisplayImageCommand, Meldung und Diskussion im Debian-Bugtracking-System
