Metabase Qは2月1日(米国時間)、「ImageMagick: The hidden vulnerability behind your online images」において、同社のセキュリティチームが発見した画像処理ソフトウェア「ImageMagick」の2件のゼロデイ脆弱性について報告した。これらの脆弱性を悪用されると、攻撃者によって標的のシステム上でサービス拒否(DoS)や情報漏洩などの攻撃を受ける可能性がある。
-
ImageMagick: The hidden vulnerability behind your online images - Metabase Q
ImageMagickは画像の表示や操作、フォーマット変換などを行うことができるオープンソースのソフトウェアスイート。非常に多くの画像フォーマットに対応していることから、画像を扱う世界中のWebサイトで広く利用されている。
今回報告されているのは次の2件の脆弱性で、いずれも調査時点の最新版であったImageMagick 7.1.0-49(2022年9月25日リリース)において発見されたという。
- CVE-2022-44267: サイズ変更などでPNG画像を解析する際に、変換プロセスが標準入力からの入力を待たされ、結果としてサービス拒否状態になる危険性がある
- CVE-2022-44268: サイズ変更などでPNG画像を解析する際に、結果の画像に任意のリモートコンテンツが埋め込まれ、情報漏洩につながる危険性がある
これらの脆弱性を悪用するには、ImageMagickを使用するWebサイトに対して悪意を持って加工された画像をアップロードする必要がある。また、CVE-2022-44268については、ImageMagickバイナリが対象となるコンテンツの読み取り権限を持っている場合のみ影響を受けるという。
いずれの脆弱性も、2022年11月6日にリリースされたImageMagick 7.1.0-52で修正されている。したがって、現時点で最新版をインストールしている場合はこれらの脆弱性の影響を受けることはない。もし、ImageMagick 7.1.0-49以前のバージョンを使用している場合は、できるだけ早く最新版にアップデートすることが推奨される。
