Se
han reportado tres vulnerabilidades en Imagemagick, una herramienta empleada
por millones de sitios web para el tratamiento de imágenes. Las vulnerabilidades
son consideradas de gravedad alta y podrían permitir a un atacante provocar
condiciones de denegación de servicio.
ImageMagick es un conjunto de utilidades
de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y
escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de
comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web
como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar
miniaturas. También es usado por otros programas para la conversión de
imágenes.
En todos los problemas
reportados, debido a múltiples errores en la función 'MagickCore/draw.c', un atacante remoto podría provocar
denegaciones de servicio a través de archivos de imágenes especialmente
manipulados.
En el primer problema, con
CVE-2016-4562, el error se debe al no calcular correctamente determinados datos
de tipo entero, lo que causa un desbordamiento de memoria. El siguiente
problema, con CVE-2016-4563, consiste en un al relacionar incorrectamente el
valor 'BezierQuantum' con otros tipos
determinados de datos, también provoca un desbordamiento de memoria.
Por último, con CVE-2016-4564, un
error al no localizar correctamente el siguiente token en determinadas llamadas
de la función, lo cual igualmente provoca un desbordamiento de memoria.
Este problema afecta a las versiones
anteriores a 6.9.4-0 y anteriores 7x-7.0.1-2. Se recomienda actualizar a
versiones superiores.
Más información:
Imagemagick changelog
ImageTragick
Juan Sánchez
No hay comentarios:
Publicar un comentario