Thema: Schwachstelle in ImageMagick

[SiLæncer]

Tavis Ormandy hat eine Format-String-Schwachstelle in ImageMagicks Behandlung von Dateinamen gemeldet. ImageMagick ist eine Zusammenstellung von freien Grafiktools zum Konvertieren, Editieren und Erstellen von Bildern in vielen Formaten. Speziell präparierte Namen können ein Programm, das ImageMagick benutzt, zum Absturz bringen. Schlimmstenfalls könnte dadurch beliebiger Code ausgeführt werden.

ImageMagick wird oft von Web-Frontends zur Bildbearbeitung eingesetzt. Falls diese Web-Anwendungen Uploads von Bildern mit beliebigen Dateinamen zulassen, könnte ein Angreifer sich dadurch weitere Rechte erschleichen. Laut dem Hersteller ist dieses Problem in der Version 6.2.0-3 Beta gelöst. Ormandy aus dem Gentoo Linux Security Audit Team entdeckte diesen Bug, als er eine MPEG-Datei in Einzelbilder konvertieren wollte.

Quelle und Links : http://www.heise.de/newsticker/meldung/57034

[SiLæncer]

Im Grafikprogramm ImageMagick sind neue Fehler aufgetaucht, die ein Angreifer ausnutzen kann, um das Programm abstürzen oder Kommandos ausführen zu lassen. Die Schwachstellen wurden von SUSE und Red Hat in gestern erschienenen Updates bereits behoben.

Bei der Verarbeitung von manipulierten TIFF- sowie PSD-Bildern kommt es dazu, dass ImageMagick abstürzt. Durch speziell präparierte SGI-Bilder ist es für einen Angreifer sogar möglich, eigenen Code auszuführen, falls sein Opfer eine solche Datei mit ImageMagick öffnet.

Durch die Updates der oben genannten Distributoren werden auch weitere Schwachstellen beseitigt, über die heise Security bereits berichtete [1] [2]. Andere Distributionen dürften wahrscheinlich bald ebenfalls aktualisierte Pakete veröffentlichen. Aus dem Changelog von ImageMagick geht nicht hervor, ob beim Hersteller selbst die Probleme in der aktuellen Version 6.2.0-8 gelöst sind.

Quelle und Links : http://www.heise.de/newsticker/meldung/57888