admin 发表于 8-22 22:17

ImageMagick存在0day漏洞

ImageMagick存在0day漏洞

降维安全实验室(johnwick.io)观测到通用性图像处理软件ImageMagick被爆0day漏洞。 可以用于远程命令执行,甚至可以本地提权至root权限,且截至发稿前,官方尚未发布补丁。

此漏洞风险等级极高。 ImageMagick是一款被广泛使用的图像处理软件,有相当多网站使用它来进行图像处理。 同时它被Perl,C++,PHP,python,java,ruby等等语言支持,许多第三方图像处理的 模块或支持库均使用ImageMagick实现。此次出现漏洞原理为ImageMagick底层支持库 GhostScript存在沙箱绕过缺陷。

我们注意到,交易所的kyc验证流程,涉及到图像处理,非常容易受到此漏洞攻击利用。 降维安全实验室(johnwick.io)建议通过卸载ImageMagick底层支持库GhostScript 来缓解本漏洞。 卸载方法:sudo apt-get remove ghostscript
页: [1]
查看完整版本: ImageMagick存在0day漏洞

博一网
www.bo-yi.com
点击查看放大的二维码
订阅号:jc68com
点击查看放大的二维码
服务号:jc68-1
点击查看放大的二维码
移动端二维码
腾讯微博
腾讯微博
新浪微博
新浪微博