原标题:ImageMagick内含可远端执行程式的重大安全漏洞
图片来源:ImageMagick
安全研究人员Ryan Huber本周指出,受到各网站广泛採用的开放源码图像处理软体套件ImageMagick含有多个安全漏洞,当中最严重的漏洞将允许骇客自远端执行程式,且已有攻击程式出炉。
以C语言撰写的ImageMagick软体套件可用来显示、转换及编辑图像,支援逾200种图像格式,并可跨平台运作,估计至少有数百万台的网页伺服器採用ImageMagick 。
Huber表示,有不少图像处理外挂程式仰赖ImageMagick函式库,诸如PHP的imagick、Ruby的rmagick与paperclip,或是nodejs的imagemagick,不论是使用了ImageMagick或受影响的函式库都会受到波及。
Huber强调,他们相信已经有人得知该漏洞,并将对ImageMagick用户造成威胁。此一重大漏洞的编号为CVE-2016–3714,只要是允许使用者上传图像的网站都会受到影响,骇客可上传恶意图像以迫使伺服器执行任意程式。
Huber及ImageMagick专案都发表了暂时补救方案,建议网站新增多个原则网域(policy domain),并验证所有的图像档案。
相关:
苹果于本周四(4/28)正式透过Github开源旗下的CareKit软体框架,而首波採用CareKit的4款iOS程式也在当天上架。CareKit是ResearchKit的姐妹产品,苹果于去年开源的ResearchKit可协助医生、科学家及研究人员利用行动装
消费者文教基金会今天名开记者会质疑,立法院去年5月15日三审通过“长期照顾服务法”,预计2017年施行,但总预算需要新台币728亿元,预算仅编120亿元,恐为不可能的任务。消基会今天召开“长期照‘付’:政府行˙不
消费者文教基金会今天名开记者会质疑,立法院去年5月15日三审通过“长期照顾服务法”,预计2017年施行,但总预算需要新台币728亿元,预算仅编120亿元,恐为不可能的任务。消基会今天召开“长期照‘付’:政府行˙不
从Google Play下载App保证安全!? 资安业者:发现超过100款恶意程式会偷资料、点击诈骗。
Google才刚在最新的Android安全报告中坦言Google Play中有0.15%机会下载有潜在危害的程式,马上面临资安公司Check Point的挑战:Google Play市集发现了超过100个恶意程式,可能被用来窃取个资、进行点击诈骗。?以色列
全球晶片龙头英特尔(Intel)上周宣布组织重整并加速转型,準备转型成可支撑云端及物联网的公司,本周英特尔执行长Brian Krzanich揭露了英特尔对于未来的五大信仰,分别是云端、物联网、FPGA、5G与摩尔定律,并强调未