Sicherheitslücke in ImageMagick

- 06. Mai 2016

Die Bildbearbeitungssoftware ImageMagick liegt nicht nur vielen Linux-Distributionen bei, sie kommt auch auf Webservern zum Einsatz. Jetzt wurde eine dramatische Sicherheitslücke entdeckt. Ein Update von ImageMagick steht jedoch noch aus.

Angreifer müssen lediglich ein manipuliertes Bild hochladen, um auf dem Server Schadcode ausführen zu können. Konkret soll es gleich mehrere Probleme geben: Zum einen prüft ImageMagick nicht den Dateinamen. Dadurch können Angreifer Shell-Code im Dateinamen unterbringen, den dann ImageMagick unter Umständen startet. Darüber hinaus können einige Bildformate ebenfalls Code enthalten, den ImageMagick nicht genügend prüft. Abschließend untersucht die Bildbearbeitungssoftware das Dateiformat der Bilder unzureichend: Kann es das Format nicht eindeutig feststellen, versucht es die Datei in eine temporäre zu entpacken. Auch dies sollen Angreifer für ihre Zwecke ausnutzen können.

Betroffen von der Imagetragick getauften Sicherheitslücke sind auch Bibliotheken, die auf ImageMagick zurückgreifen, wie etwa imagick für PHP oder rmagick für Ruby.

Die ImageMagick-Entwickler arbeiten bereits an einem Update, das allerdings im Moment noch nicht zur Verfügung steht. Server-Betreiber können sich bis dahin mit Workarounds behelfen. Entdeckt haben die Fehler ein Sicherheitsforscher mit dem Pseudonym Stewie sowie Nikolay Ermishkin vom russischen E-Mail-Anbieter Mail.Ru.

Viele Webanwendungen nutzen ImageMagick um Bilder zu verkleinern, zu skalieren oder zu rotieren.

SCHLAGWORTE
Security

Cloud Tag: KI als Partner im Gruppenchat

Anthropic hat seine jüngste Entwicklung Claude Tag vorgestellt, die sich in einen Slack-Gruppenchat einbinden lässt und dann von Teammitgliedern via @Claude Aufgaben übertragen bekommt. Claude Tag soll sich dabei Kontext-Informationen aus den Channels besorgen, in denen es eingebunden ist.

Kritische Nginx-Sicherheitslücken

Nginx ist eine weit verbreitete Software für Webserver, Reverse-Proxy- und Load-Balancing-Dienste. Der Hersteller F5 hat nun außerplanmäßige Sicherheitsupdates veröffentlicht, um zwei kritische Schwachstellen in Nginx und weiteren Produkten des Unternehmens zu schließen. Eine der Lücken...

Thunderbird Pro wird Thundermail und Webmail kommt

Der für den Mailclient Thunderbird gestartete Subskriptionsservice Thunderbird Pro heißt nun Thundermail. Thundermail bezeichnet damit den E-Mail-Dienst von Thunderbird, der Funktionen wie Appointment und Send bereits beinhaltet.

China holt Krone für weltschnellsten Supercomputer

Auf der Internationalen Supercomputerkonferenz ISC 2026 in Hamburg wurde die nunmehr 67te Liste der 500 weltschnellsten Computer veröffentlicht. Sie wird zum ersten Mal seit 2017 wieder von einem chinesischen Rechner angeführt, einem System namens LineShine, das im National Supercomputing Centre...

BSI: Künstliche Intelligenz verschärft Dynamik bei Cyberangriffen

Der Einsatz Künstlicher Intelligenz verändert die Cybersicherheitslage grundlegend und erhöht den Druck auf Unternehmen und Behörden, schneller auf neue Bedrohungen zu reagieren, teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit.

Europäisches Konsortium entwickelt Spitzen-LLM als Open Source

Die Europäische Kommission hat das Konsortium EUROPA unter Führung der italienischen KI-Firma Domyn zum Sieger des Wettbewerbs "Frontier AI Grand Challenge" gekürt. Das Projekt will ein Sprachmodell entwickeln, dass alle 24 offiziellen Amtssprachen der EU spricht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Torsten Werner

8 Jahre her

Das Update gibt es seit 3 Tagen. https://www.imagemagick.org… *seufz*

Antworten

Wir melden uns mit einer kurzen Folge direkt von den Chemnitzer Linux-Tagen 2026. Es war wieder ein aufregendes CLT-Wochenende – und wir hoffen, dass euch unsere Kurz-Interviews einen guten Eindruck von der Veranstaltung vermitteln.