神刀安全网

“魔图”漏洞波及多家知名网站及app

近日,360安全监测与响应中心(360cert)监测到一个重大的安全漏洞——“魔图”漏洞,凡是可以上传图片的网站或APP都可能受到影响,黑客上传一张包含 恶意代码 的图片就可攻陷网站服务器,随意关机甚至删除或窃取用户数据,国内外已有大量知名网站中招,上亿网民数据安全遭遇严重威胁。

“魔图”漏洞波及多家知名网站及app

魔图漏洞存在于ImageMagick组件中,该软件组件属于互联网的基础组件,是功能强大、稳定而且开源的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,包括流行的TIFF、JPEG、GIF、 PNG、PDF以及PhotoCD等格式,用途非常广泛,包括缩略图生成,图片照片裁剪、图片合成等功能。

“只要上传一张包含 恶意代码 的图片,就有可能让服务器瘫痪。”360cert安全专家赵晋龙介绍,用户在某APP上传一个图片头像,后台的服务器要对这个图片进行裁剪,以适合网站需求,裁剪的同时自动启用到ImageMagick组件。然而这个组件存在着一个逻辑性错误,导致出现了这个魔图漏洞。黑客可以通过漏洞上传一张带有木马的图片,写入新的命令,从而攻击后台服务器,甚至可能带来删除用户数据、停止网络服务等问题,会对服务器厂商和用户造成巨大的损失和麻烦。

安全专家筛查发现,用户用微信聊天时候,上传一张图片,微信服务器会对照片进行压缩的同时触发ImageMagick组件,黑客攻击者可以利用漏洞找到存储图片的服务器,植入木马、设置后门,从而控制服务器。

经过360cert的筛查,此前, 人人网、网易163邮箱、途牛、腾讯邮箱、新浪博客、微信 等业务均受到影响。昨天晚间,360cert已经将漏洞提交给了腾讯应急响应中心,今天上午,记者了解到, 微信已经修复了漏洞

赵晋龙介绍,目前看来,这是今年以来对互联网服务商影响最大的安全漏洞,攻击者可以利用该漏洞在服务器上执行任意系统命令,由于和应用逻辑强相关,通过扫描等方式无法批量准确检测,初步估计,这个漏洞可能会影响到上亿用户。

虽然官方于5月3日发布了相关修补补丁,但360cert专家发现大部分通过apt、yum等Linux软件源安装的ImageMagick组件都还存在漏洞。专家建议暂时禁用相关上传功能,通过修改配置文件禁用ImageMagick,并及时将ImageMagick组件升级到6.9.3-10版本。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » “魔图”漏洞波及多家知名网站及app

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址