新闻资讯

联系方式


深圳市科诺斯科技有限公司
电话:0755-32850088
邮箱:Cathy@codenurse.com
联系人:尚小姐
深圳市福田区泰然八路水松大厦四楼

安全资讯

当前位置 : 首页 > 安全资讯
“魔图”漏洞波及多家知名网站及app
时间 : 2016-5-6    阅读 : 342    发布:深圳市科诺斯科技有限公司

近日,360安全监测与响应中心(360cert)监测到一个重大的安全漏洞——“魔图”漏洞,凡是可以上传图片的网站或APP都可能受到影响,黑客上传一张包含恶意代码的图片就可攻陷网站服务器,随意关机甚至删除或窃取用户数据,国内外已有大量知名网站中招,上亿网民数据安全遭遇严重威胁。


魔图漏洞存在于ImageMagick组件中,该软件组件属于互联网的基础组件,是功能强大、稳定而且开源的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,包括流行的TIFF、JPEG、GIF、 PNG、PDF以及PhotoCD等格式,用途非常广泛,包括缩略图生成,图片照片裁剪、图片合成等功能。

“只要上传一张包含恶意代码的图片,就有可能让服务器瘫痪。”360cert安全专家赵晋龙介绍,用户在某APP上传一个图片头像,后台的服务器要对这个图片进行裁剪,以适合网站需求,裁剪的同时自动启用到ImageMagick组件。然而这个组件存在着一个逻辑性错误,导致出现了这个魔图漏洞。黑客可以通过漏洞上传一张带有木马的图片,写入新的命令,从而攻击后台服务器,甚至可能带来删除用户数据、停止网络服务等问题,会对服务器厂商和用户造成巨大的损失和麻烦。

安全专家筛查发现,用户用微信聊天时候,上传一张图片,微信服务器会对照片进行压缩的同时触发ImageMagick组件,黑客攻击者可以利用漏洞找到存储图片的服务器,植入木马、设置后门,从而控制服务器。

经过360cert的筛查,此前,人人网、网易163邮箱、途牛、腾讯邮箱、新浪博客、微信等业务均受到影响。昨天晚间,360cert已经将漏洞提交给了腾讯应急响应中心,今天上午,记者了解到,微信已经修复了漏洞。

赵晋龙介绍,目前看来,这是今年以来对互联网服务商影响最大的安全漏洞,攻击者可以利用该漏洞在服务器上执行任意系统命令,由于和应用逻辑强相关,通过扫描等方式无法批量准确检测,初步估计,这个漏洞可能会影响到上亿用户。

虽然官方于5月3日发布了相关修补补丁,但360cert专家发现大部分通过apt、yum等Linux软件源安装的ImageMagick组件都还存在漏洞。专家建议暂时禁用相关上传功能,通过修改配置文件禁用ImageMagick,并及时将ImageMagick组件升级到6.9.3-10版本。

---
微信最新版,长按公众号,可“置顶”