Mehrere Löcher in ImageMagick
Schwachstelle bei der Verarbeitung von DCM- und XWD-Files.
3. April 2007
In der Bildbearbeitungs-Library ImageMagick klaffen laut dem Security-Dienstleister iDefense Labs mehrere Sicherhetislücken. Imagemagick erledigt bei vielen Web-Anwendungen im Hintergrund Grafik-Aufgaben wie die Grössenanpassung hochgeladener Bilder. Die Fehler treten bei der Verarbeitung von Bildern in den Formaten DCM (Digital Imaging and Communications in Medicine) und XWD (X Window Dump) auf und erlauben es Angreifern, über präparierte Bilder Schadcode aufs Zielsystem zu bringen. Die betroffenen Bildformate sind zwar wenig gebräuchlich, da ImageMagick Bilder jedoch anhand des Inhalts und nicht am Suffix im Dateinamen erkennt, könnte sich ein korruptes DCM- oder XWD-Bild auch hinter einem vermeintlichen JPG verbergen.
Betroffen sind die ImageMagick-Versionen 6.2.9 und 6.3.x und eventuell auch ältere Versionen, die iDefense nicht getestet hat. Im neuesten Release 6.3.3-5 wurden die Fehler korrigiert. Alternativ zur Installation der neuesten Version lassen sich in älteren Ausgaben die Module für DCM und XWD entfernen - dann lassen sich aber überhaupt keine Dateien in diesen Formaten mehr bearbeiten. (ubi)
Betroffen sind die ImageMagick-Versionen 6.2.9 und 6.3.x und eventuell auch ältere Versionen, die iDefense nicht getestet hat. Im neuesten Release 6.3.3-5 wurden die Fehler korrigiert. Alternativ zur Installation der neuesten Version lassen sich in älteren Ausgaben die Module für DCM und XWD entfernen - dann lassen sich aber überhaupt keine Dateien in diesen Formaten mehr bearbeiten. (ubi)
Artikel kommentieren
