【漏洞预警】ImageMagick压缩TIFF图片远程代码执行漏洞(CVE-2016-8707)

2016-12-07 380277人围观 ,发现 15 个不明物体 漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

wizard.png

漏洞概述

近日,Cisco Talos发布了一条关于ImageMagick远程代码执行漏洞的通告:Vulnerability Spotlight: ImageMagick Convert Tiff Out of Bounds Write 攻击者成功利用漏洞后,可导致远程代码执行。

关于ImageMagick

logo.png

ImageMagick软件是用C语言编写的,可用来显示、转换以及编辑图形,支持超过200种图像文件格式,并且可以跨平台运行。ImageMagick软件被许多编程语言所支持,包括Perl,C++,PHP,Python和Ruby等,并被部署在数以百万计的网站,博客,社交媒体平台和流行的内容管理系统(CMS)。

受影响的版本: ImageMagick version < 7.0.3-9 

不受影响的版本 :ImageMagick version = 7.0.3-9

漏洞分析

在网上找了一下漏洞的细节分析,在一个日文博客网站中找到了一些细节,感兴趣的童鞋可自行阅读分析:

Clipboard Image.png

http://d.hatena.ne.jp/yoya/20161205/im

修复方案

升级到目前的最新版本(7.0.3-9

ImageMagic历史漏洞

相关来源

http://blog.talosintel.com/2016/12/ImageMagick-Tiff-out-of-Bounds.html    

http://d.hatena.ne.jp/yoya/20161205/im  

https://security-tracker.debian.org/tracker/CVE-2016-8707

* 本文作者:漏洞盒子,未经允许禁止转载

更多精彩
相关推荐

这些评论亮了

  • ArthurKiller (7级) 窃.格瓦拉驻FreeBuf办事处 回复
    1. 点开http://d.hatena.ne.jp/yoya/20161205/im
    2. 拉到底下

    最后面那个是阿里巴巴的内网资源地址么.......
    )32( 亮了
  • 马云 回复
    @ lll 明天自己去人事部办理离职手续,你的思想道德观有问题
    )22( 亮了
  • test 回复
    没有漏洞细节是因为没招日文翻译么 捂脸跑....
    )8( 亮了
发表评论

已有 15 条评论

取消
Loading...

特别推荐

推荐关注

官方公众号

聚焦企业安全

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php