ImageMagick再爆嚴重漏洞，可導致雅虎郵箱用戶郵件內容泄漏

在安全研究員發現圖片處理庫ImageMagick存在嚴重漏洞、可導致伺服器內存數據泄漏錯誤後，雅虎工程師決定把自家網站上的這個庫換掉。而由於ImageMagick的高許可權，用戶收件箱里的郵件圖片可能會泄露。

ImageMagick擅長處理Web伺服器上的各種圖片格式，是全球範圍都很流行的Web開發者工具包，國內許多互聯網公司也都在用。但它在安全上不太行，曾經出現過許多漏洞，其中最著名的一個叫魔圖攻擊（ImageTragick），上傳圖片即可遠程命令執行，當時在國內影響極大。

隨著時間推移，特別是16年5月的魔圖攻擊曝光後，很多開發者都開始轉換到新的圖片處理庫，而雅虎還在繼續使用。

漏洞可泄漏雅虎伺服器上的圖片數據

去年冬天，安全研究員Chris Evans在ImageMagick中發現一個新的漏洞（編號CESA-2017-0002），他在安全博客上詳細說明了漏洞的技術原理。

根據他的文章簡化來講，Evans製作了一張包含攻擊代碼的畸形圖片，將其作為附件發郵件給自己。

當郵件和附件進入雅虎的郵箱伺服器，ImageMagick庫會自動處理圖片，生成縮略圖和預覽圖。這使得雅虎的ImageMagick庫直接執行了攻擊代碼。

攻擊代碼的作用是：讓ImageMagick庫在處理附件圖片的時候，生成錯誤的預覽圖。預覽圖將包括當前伺服器內存里的圖片。

幸運的是，Evans獲取的圖片是破損的，沒有任何可用信息。Evans也沒有嘗試改進代碼來獲得更清晰的圖片，因為那將侵犯用戶隱私，並破壞雅虎的漏洞賞金計劃的規則。

14000美元漏洞賞金和慈善捐贈

收到漏洞報告後，雅虎工程師進行內部評估，討論的最佳修復方案是退出ImageMagick不再使用。

雅虎向Evans發放了14000美元。根據漏洞賞金計劃規則，Evans選擇將賞金捐贈給慈善機構，雅虎進行了雙倍金額捐贈。

在向雅虎報告之前，Evans還向ImageMagick官方報告了漏洞，ImageMagick在兩個月前發布的v7.0.5-1已經修復。

發現此次漏洞後，Evans將其命名為「Yahoobleed #1」。最近幾個月，他還發現了Linux桌面系統的幾處漏洞。

本文翻譯自

https://www.bleepingcomputer.com/news/security/yahoo-retires-problematic-library-after-bug-exposes-user-email-content/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！