Das weit verbreitete Open-Source-Bildverarbeitungs- und -Anzeigeprogramm ImageMagick lässt sich über präparierte Dateinamen dazu bringen, beliebige Befehle und möglicherweise auch eingeschleusten Code auszuführen. Ubuntu ist der erste Linux-Distributor, der heute die Lücken mit aktualisierten Paketen schließt.
Angreifer könnten beispielsweise über E-Mails mit präparierten Links die Schwachstellen ausnutzen. Die Lücken wurden schon Ende letzten Jahres entdeckt. Wie die Fehler korrekt zu beseitigen seien, war jedoch Gegenstand mehrtägiger Diskussionen im Debian-Bugtracking-System.
In Kürze dürften auch die anderen Linux-Distributoren mit aktualisierten Paketen nachziehen. Bis dahin sollten betroffene Anwender Links auf Grafiken etwa in E-Mails nicht folgen.
Siehe dazu auch:
* imagemagick vulnerabilities, Security Notice von Ubuntu
* ImageMagick Image Filename Remote Command Execution Vulnerability, Übersicht auf SecurityFocus
* Shell command injection in delegate code (via file names), Meldung und Diskussion im Debian-Bugtracking-System
* imagemagick: New format string vulnerability in SetImageInfo(), Meldung und Diskussion im Debian-Bugtracking-System
* libmagick: array index overflow in DisplayImageCommand, Meldung und Diskussion im Debian-Bugtracking-System
Quelle und Links :
http://www.heise.de/security/news/meldung/68803
