Se
ha anunciado una
vulnerabilidad en Imagemagick, una
herramienta empleada por millones de
sitios web para el tratamiento de imágenes, que podría permitir a un
atacante provocar condiciones de denegación de servicio.
ImageMagick es un conjunto de utilidades
de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y
escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de
comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como
MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas.
También es usado por otros programas para la conversión de imágenes.
El problema (con CVE-2016-6491) reside
en un error en la función "Get8BIMProperty()"
(MagickCore/property.c), que podría permitir una lectura de memoria fuera de
límites. Un atacante podría provocar una denegación de servicio mediante el tratamiento
de una imagen específicamente manipulada.
La vulnerabilidad se ha
confirmado en la versión ImageMagick 7.0.2-1, aunque versiones anteriores
también pueden verse afectadas. Se ha publicado una actualización en el repositorio
en forma de código fuente:
Más información:
CVE-Request
Buffer overflow ImageMagick
Prevent
buffer overflow (bug report from Ibrahim el-sayed)
Antonio Ropero
Twitter: @aropero
