Se ha reportado una vulnerabilidad en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.
Como hemos explicado en anteriores boletines, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.En el problema reportado, con CVE-2017-14505, debido a un error en la función ‘DrawGetStrokeDashArray’ en ‘wand/drawing-wand.c’ al manejar determinados arrays nulos podría causar una desreferencia a puntero nulo en la función ‘AcquireQuantumMemory’ en ‘MagickCore/memory.c’.
Un atacante remoto podría valerse de este error para provocar denegaciones de servicios a través de archivos de imágenes especialmente manipulados.
Este problema afecta a las versiones anteriores a la 7.0.7-1. Se recomienda actualizar a versiones superiores. https://www.imagemagick.org/download/beta/
Juan Sánchez
Más información:
Null Pointer Dereference triggered by malformed Image File
Imagemagick
Deja una respuesta