ImageMagick 軟體出現漏洞,使用者可能上傳「中毒」的自拍照

根據一篇報導,知名的影像處理軟體 ImageMagick 被發現有個可能讓網站暴露於攻擊風險的漏洞。這項資安漏洞可能讓受感染的影像騙過網站伺服器而執行可蒐集資料或窺探使用者帳號的惡意程式碼。此漏洞將影響那些使用 ImageMagick 軟體以及那些允許使用者上傳影像的網站服務。

ImageMagick 是一專門來建立、編輯、合成及轉換影像的套裝軟體,一些社群媒體平台、部落格網站以及內容管理系統,都使用這套軟體來縮放或調整使用者上傳的影像。

ImageMagick 在一份聲明當中回應了這項報導:「我們最近接獲一些程式設計師通報的漏洞,這些漏洞可能讓駭客從遠端執行程式碼,或者在本地端電腦上產生檔案。

此漏洞是由資安研究人員 Stewie 以及資安工程師 Nikolay Ermishkin 所共同發現。根據資安專家表示,雖然這項安全漏洞目前並無進一步的資訊,不過卻令人擔憂,因為在沒有修補程式可以降低損害的狀況下,該漏洞的細節已經廣為流傳。由於漏洞資訊已經曝光,資安專家也必須開始跟駭客展開賽跑,才能保障全球伺服器的安全,避免遭到駭客入侵。

資安研究人員 Ryan Huber 在一篇部落格當中表示:「我們一致認為,有關該漏洞的消息已經流傳到原本發現漏洞的人員之外,不知有多少人已經知道這項消息,而這對每位使用該軟體的人來說,都是個嚴重問題。」事實上,在漏洞揭露及通報的 40 分鐘之後,就已經有人製作出概念驗證攻擊,而且經過實驗證明有效。

本文截稿之前,雖然公司仍未釋出任何修補程式,不過卻鼓勵網站網站管理員在設定檔中加入幾行程式碼來避免潛在的攻擊。除此之外,也呼籲網站應用程式開發人員將 ImageMagick 隔離在沙盒環境當中以限制其存取能力。本週最後收到的消息是,7.0.1-1 與 6.9.3-10 兩個版本將對前述發現的漏洞進行必要修補。

原文出處:ImageMagick Vulnerability Discovered, Users Could Be Uploading a “Poisoned Selfie

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

say no to ransomware

一般用戶中小企業用戶大型企業

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數