Se ha reportado una vulnerabilidad en Imagemagick, una
herramienta empleada por millones de sitios web para el tratamiento de
imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a
un atacante provocar condiciones de denegación de servicio.
Como hemos explicado en anteriores boletines, ImageMagick es
un conjunto de utilidades de código abierto para mostrar, manipular y convertir
imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto
de utilidades de línea de comandos empleado para la manipulación de imágenes.
Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar
ImageMagick para generar miniaturas. También es usado por otros programas para
la conversión de imágenes.
En el problema reportado, con CVE-2017-14505, debido a un error en la función
'DrawGetStrokeDashArray' en 'wand/drawing-wand.c' al manejar determinados
arrays nulos podría causar una desreferencia a puntero nulo en la función 'AcquireQuantumMemory' en 'MagickCore/memory.c'.
Un atacante remoto podría valerse de este error para provocar denegaciones de servicios a través de
archivos de imágenes especialmente manipulados.
Este problema afecta a las versiones anteriores a la 7.0.7-1. Se
recomienda actualizar a versiones superiores.
https://www.imagemagick.org/download/beta/
Más información:
Null Pointer Dereference triggered by malformed Image File
Imagemagick
No hay comentarios:
Publicar un comentario