In der freien Bildbearbeitungssoftware Image Magick sind vier Fehler aufgetaucht, die in der Summe von mehreren Sicherheitsdienstleistern als hoch kritisch eingestuft werden. Eine neue Version schafft Abhilfe.
Die jüngst veröffentlichte Version 6.3.5-9 von Image Magick schließt vier Lücken. Gefährdet waren auch Anwendungen, die Bibliotheken der Software nutzen. Eine Lücke ermöglichte Denial-of-Service-Angriffe, die in hoher CPU-Aktivität resultierten und so das angegriffene System stark verlangsamen konnten.
Ein Fehler in den Funktionen “AllocateImageColormap()”, “ReadDCMImage()”, “ReadDIBImage()”, und “ReadXBMImage()” konnte von potentiellen Angreifern genutzt werden, um mittels eines Integer-Overflows Image Magick und andere Anwendungen zum Absturz zu bringen. Ein “off-by-one”-Fehler in der Funktion “ReadBlobString()” und einige Fehler in den Funktionen “ReadDCMImage()” und “ReadXCFImage()” machten es möglich, bei erfolgreicher Ausnutzung beliebigen Schadcode auszuführen.
Die Sicherheitslücken betreffen nicht nur Linux-Systeme, sondern alle Plattformen, für die Image Magick zur Verfügung steht. Die Entwickler raten Anwendern dringend, auf die neue Version zu aktualisieren. Die Quellen der Version 6.3.5-9 können von verschiedenen Mirrors heruntergeladen werden. Fertige Pakete stehen für Linux, Unix, Mac OS X und Windows zum Download bereit.
