0

  • Votre panier est vide.

  • LOGIN

Les vulnérabilités d’ImageMagick pourraient permettre un DoS et une fuite d’informations

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs ont découvert deux vulnérabilités de sécurité dans l’outil ImageMagick qui pourraient déclencher des attaques par déni de service ou des fuites de données. Les fournisseurs ont corrigé les bogues à temps, empêchant toute exploitation active. Les utilisateurs doivent assurer la mise à jour vers les dernières versions corrigées pour éviter tout incident.

Plusieurs vulnérabilités repérées dans l’outil ImageMagick

Selon un récent poste de la société de cybersécurité Metabase Q, leurs chercheurs ont découvert deux problèmes de sécurité dans l’outil graphique ImageMagick.

ImageMagick est un logiciel open source pour la conversion, la conception et l’édition d’images. Compte tenu de sa disponibilité gratuite et de la prise en charge d’un grand nombre de formats de fichiers (plus de 200), ImageMagick est un outil populaire parmi les graphistes et les développeurs Web, en particulier ceux qui traitent des applications open source.

Plus précisément, les chercheurs ont découvert les deux vulnérabilités suivantes affectant ImageMagick.

  • CVE-2022-44267 : une vulnérabilité de déni de service (DoS) qui affectait la fonction de conversion d’image lors de l’analyse des fichiers PNG. Selon les chercheurs, l’analyse des fichiers .png pourrait « laisser le processus de conversion en attente d’une entrée stdin ».
  • CVE-2022-44268 : une vulnérabilité de divulgation d’informations qui pourrait divulguer des données à partir de fichiers distants arbitraires lors de l’analyse d’images PNG dans l’image résultante.

L’exploitation des deux vulnérabilités nécessitait simplement qu’un attaquant télécharge un fichier image PNG malveillant sur le site Web cible à l’aide d’ImageMagick. Les chercheurs ont partagé une analyse technique détaillée des deux vulnérabilités dans leur article.

Les vendeurs ont corrigé les défauts

L’équipe Ocelot de Metabase Q a découvert ces images lors de l’analyse de la dernière version d’ImageMagick 7.1.0-49. Suite à cette découverte, ils ont rapidement signalé le problème aux développeurs d’ImageMagick.

Par conséquent, les développeurs de l’application ont travaillé sur la correction des vulnérabilités, publiant finalement les correctifs avec la version suivante de l’application.

Leur site répertorie désormais l’ImageMagick 7.1.0-60 version comme la dernière version. Par conséquent, pour s’assurer de recevoir toutes les mises à jour de fonctionnalités et les corrections de bogues, les utilisateurs doivent mettre à jour leurs sites Web et leurs systèmes avec cette version au plus tôt.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

février 12, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)