广受欢迎的ImageMagick工具易受远程代码执行攻击

ImageMagick，这是一种广受欢迎的软件工具，被许多网站用来处理用户的照片，黑客可以在服务器上远程执行恶意代码。

ImageMagick是一个开源的图像处理库，允许用户调整大小、缩放、裁剪、水印和调整图像。

IMAGE工具由许多编程语言支持，包括Perl、C++、PHP、Python、露比，并且正被数百万网站、博客、社交媒体平台和流行的内容管理系统（CMS）部署，如WordPress和Drupal。

Slack安全工程师Ryan Huber透露了零日缺陷（CVE-2016–；3714）在ImageMagick图像处理库中，黑客可以通过上传恶意制作的图像在Web服务器上执行恶意代码。

例如，通过将装有诱杀装置的自拍上传到使用ImageMagick的web服务，攻击者可以在网站服务器上执行恶意代码，窃取关键信息，窥探用户帐户等等。

换句话说，只有那些使用ImageMagick并允许用户上传图像的网站才容易受到攻击。

该漏洞的漏洞已被释放，并命名为：ImageTragick。

Huber在周二发布的一篇博客文章中写道：“针对该漏洞的攻击正在野外使用。”。“漏洞很小，所以我们希望它能在本文发布后的几个小时内提供。”

他补充道：“我们共同确定，这些漏洞对发现者以外的个人是可用的。访问这些漏洞的人数不可知，这对使用该软件的每个人来说都是一个关键问题。”

ImageMagick团队也承认了这一缺陷，称最近“漏洞报告…；包括可能的远程代码执行和在本地系统上呈现文件的能力。”

尽管该团队尚未推出任何安全补丁，但建议网站管理员在配置文件中添加几行代码，以阻止攻击，至少通过可能的漏洞攻击。

还建议网络管理员检查魔法字节'在发送到ImageMagick的文件中，然后允许对图像文件进行处理。

Magic bytes是用于识别图像类型的文件的前几个字节，例如GIF、JPEG、PNG。

ImageMagick的7.0.1-1和6.9.3-10版本将修补该漏洞，该版本将于周末发布。