25.08.06 (17:24)
In ImageMagick wurde eine Schwachstelle entdeckt, über die sich möglicherweise schädliche Aktionen ausführen lassen. Öffnet dabei ein Anwender eine speziell präparierte Bilddatei im SGI-Format, so kann die Anwendung entweder abstürzen oder beliebige Kommandos ausführen, die vom Autor in die Schad-Datei integriert wurden.
ImageMagick selbst ist eine Sammlung von Programmen und Programmkomponenten zur Bildverarbeitung und kann mehr als 90 Bildformate öffnen, verändern und schreiben. Im Bereich der Webanwednungen ein beliebtes Softwarepaket mit freiem Quellcode (OpenSource).
Schwachstellen in ImageMagick
Voraussetzung
Öffnen einer solch manipulierten Grafikdatei, die natürlich hauptsächlich per E-Mail und in Tauschbörsen angeboten werden
Betroffene Systeme
ImageMagick, Versionen 6 bis einschließlich 6.2.9
Nun zum Wirr-Warr der vergangenen Tage!
Zunächst kam diese Empfehlung
Aktualisieren auf die Version 6.2.9.
Die aktuellen Software-Pakete findet man auf den Download-Seiten des Projekts:
http://www.imagemagick.org/script/index.php
Anwender von Linux Betriebssystemen sollten in der Regel die entsprechenden Updates des Linux-Distributors installieren, sobald diese bereitstehen.
25.8.2006, Nachtrag 1:
Aktualisieren auf Version 6.2.9-1, da in früheren Versionen weitere Schwachstellen entdeckt wurden. Die aktuelle Version findet man unter der oben angegebenen Webadresse.
25.8.2006, Nachtrag 2:
In der Version 6.2.9-1 wurden zwei weitere ähnliche Schwachstellen behoben, die bei der Verarbeitung von manipulierten Grafiken in den Formaten XCF und SUN ausgelöst werden können.
Und nun? Eben...warten und hoffen...oder eben ImageMagick ersetzen...
Risiko: Mittel bis hoch!
Quelle: Buerger-Cert