Крис Эванс - эксперт по компьютерной безопасности, опубликовал информацию об уязвимости в пакете ImageMagick. Уязвимость была опробована на почтовом сервисе Yahoo (Им после всех взломов и новостей ещё кто-то пользуется?) - Крис сам себе отправил письмо со специально сформированным изображением во вложении и открыл его предпросмотр через веб-интерфейс почтового сервиса. При открытии предпросмотра, сервером было сформировано изображение, состоящее из данных, оставшихся в памяти при обработке вложений от других пользователей. За найденную уязвимость он получил вознаграждение от компании Yahoo.
Любопытно что в GraphicsMagick (форке ImageMagick) уязвимость была исправлена более года назад, но с согласованием информации об уязвимостях у ребят дела обстоят плохо, что повлияло на ситуацию, и в проекте ImageMagick проблема своевременно не была решена. Сейчас разработчики уже выпустили обновления безопасности, но в репозиториях дистрибутивов обновлённых пакетов пока что нет.
Критической эту уязвимость назвать нельзя, но вы друзья, всё же не забудьте чуть позже найти время на проверку и установку обновлений безопасности. Берегите свои данные и данные своих пользователей.
#security #imagemagick
Любопытно что в GraphicsMagick (форке ImageMagick) уязвимость была исправлена более года назад, но с согласованием информации об уязвимостях у ребят дела обстоят плохо, что повлияло на ситуацию, и в проекте ImageMagick проблема своевременно не была решена. Сейчас разработчики уже выпустили обновления безопасности, но в репозиториях дистрибутивов обновлённых пакетов пока что нет.
Критической эту уязвимость назвать нельзя, но вы друзья, всё же не забудьте чуть позже найти время на проверку и установку обновлений безопасности. Берегите свои данные и данные своих пользователей.
#security #imagemagick