ImageMagick内含可远端执行程式的重大安全漏洞

安全研究人员Ryan Huber本周指出，受到各网站广泛采用的开放源码图像处理软件套件ImageMagick含有多个安全漏洞，当中最严重的漏洞将允许骇客自远端执行程式，且已有攻击程式出炉。

以C语言撰写的ImageMagick软件套件可用来显示、转换及编辑图像，支援逾200种图像格式，并可跨平台运作，估计至少有数百万台的网页服务器采用ImageMagick 。

Huber表示，有不少图像处理插件仰赖ImageMagick函式库，诸如PHP的imagick、Ruby的rmagick与paperclip，或是nodejs的imagemagick，不论是使用了ImageMagick或受影响的函式库都会受到波及。

Huber强调，他们相信已经有人得知该漏洞，并将对ImageMagick用户造成威胁。此一重大漏洞的编号为CVE-2016–3714，只要是允许使用者上传图像的网站都会受到影响，骇客可上传恶意图像以迫使服务器执行任意程式。

Huber及ImageMagick专案都发表了暂时补救方案，建议网站新增多个原则网域（policy domain），并验证所有的图像档案。