雅虎郵箱也「出血」了，雅虎選擇棄用ImageMagick

新聞 05-27

近日，圖像處理庫ImageMagick曝出Yahoobleed漏洞，雅虎郵箱個人郵件圖片附件與身份憑證等面臨泄露風險。漏洞曝出後，雅虎棄用了這個圖像處理庫。

ImageMagick

ImageMagick是一個廣泛使用的開源圖像處理庫，自90年代就投入使用，可以讓用戶自主調整圖像大小，縮放、裁剪，以及給圖像加水印等。ImageMagick支持PHP，Python，Ruby，Perl，C ++等多種編程語言，可融入到各種項目、操作系統和應用之中，也包括雅虎、Facebook等大型網站。

這些年ImageMagick不斷曝出漏洞。 2014年5月，安全研究人員發現ImageMagick允許「惡意構造圖像強制Web伺服器執行攻擊代碼」。2016年，又曝出了名為ImageTragick的0-day漏洞。利用這個漏洞，黑客可以往Web伺服器上傳惡意構造的圖像，進而執行惡意代碼。ImageMagick擁有很多「社交媒體和博客站點」用戶，因此，其漏洞造成的影響也十分廣泛。2016年10月，Facebook因為ImageMagick漏洞支付了40,000美元的獎金。

Yahoobleed

上周，安全研究員Chris Evans又發現了ImageMagick的一個漏洞，僅需發送18個位元組的利用代碼，就能令雅虎伺服器泄露郵箱用戶的圖片。Evans因此獲得了Yahoo高達14,000美元的獎勵，也就是每個位元組獎勵778美元。

Evans將這個漏洞命名為「Yahoobleed＃1」（YB1，雅虎出血？），YB1會導致存儲在伺服器內存中的圖片泄露。

該漏洞實際上存在於RLE（Utah Raster Toolkit Run Length Encoded）圖像格式中。攻擊者只需創建一個惡意的RLE圖像，並將其發送到受害者的電子郵箱，然後創建空RLE協議命令循環，就能造成信息泄露。

Evans演示了該漏洞PoC，即利用該漏洞攻擊雅虎電子郵件帳戶。他創建了一個包含18位元組漏洞利用代碼的惡意圖像，並將其作為電子郵件附件發送給自己。一旦附件送達雅虎的電子郵件伺服器，ImageMagick就對圖像進行處理，以生成縮略圖和預覽，但是由於執行了Evans的漏洞利用代碼，Imagemagick生成的圖像附件預覽是損壞的。點擊圖像附件後，會啟動圖像預覽窗格，展示仍儲存在伺服器內存中的部分圖像信息，但不顯示原始圖像。

與越界讀取的Heartbleed與Cloudbleed漏洞不同，Yahoobleed漏洞利用的是未初始化或以前釋放過的內存內容。

Evans說：「以前的*bleed漏洞通常是越界讀取，但是Yahoobleed卻利用了未初始化的圖像內容。未初始化的圖像解碼buffer是客戶端呈現圖像的基礎。這就泄漏了伺服器端的內存信息。與越界讀取相比，利用未初始化內容獲取信息更加隱蔽，因為它不會造成伺服器崩潰。不過這種方式能夠獲取的信息也僅限於已釋放的堆。」

此外，Evans還發現了Yahoobleed

＃2（YB2）漏洞

。這個漏洞出現的原因是雅虎未能及時安裝ImageMagick在2015年1月發布的關鍵補丁。YB1和YB2二者結合使用，可以讓攻擊者直接獲得Yahoo Mail用戶的瀏覽器Cookie，身份驗證token和個人圖片等信息。

Yahoobleed的修復也很簡單，通過如下過程就能實現：

（void）ResetMagickMemory（pixels，0，pixel_info_length）;

雅虎棄用ImageMagick

在Evans向雅虎提交了18位元組的PoC之後，雅虎認為ImageMagick的bug太多，修復很麻煩，因此決定不再進行修復，而是直接棄用。