ImageMagick 造成 Yahoo Mail 的 Yahoobleed 漏洞

Yahoo Mail 爆出 Yahoobleed 的漏洞,主要原因是 imageMagick 的漏洞,但是已經修復後,Yahoo 尚未升級導致的。

新聞可見:

ImageMagick 造成 Yahoo Mail 的 Yahoobleed 漏洞

此次的漏洞只要寄送 18 byte 的圖檔到 Yahoo Mail,收件者選取信件開啟預覽視窗即可。

下述摘錄自此篇:Yahoo Mail爆Yahoobleed漏洞,用戶郵件內容恐被看光光

  • 安全研究人員Chris Evans發現,Yahoo Mail中ImageMagick圖像處理函式庫內藏漏洞。這批漏洞和先前造成網路重大災難Heartbleed和Cloudbleed一樣,會導致伺服器記憶體中的內容洩露,因為被研究人員稱之為Yahoobleed。然而和之前的漏洞是經由越界(out-of-bound)讀取記憶體不同,這次漏洞乃是使用未初始化(uninitiated)的記憶體,並不會造成伺服器當機,因而更難被察覺。不過幸好洩露的內容只限於記憶體堆積區(heap)區段中的內容。
  • 研究人員展示了二項攻擊手法,一種只要在Yahoo Mail中寄送一個18 byte的惡意圖檔。當收件者點選信中圖片開啟預覽視窗時,Yahoo Mail伺服器的記憶體就開始洩露,他稱為Yahoobleed#1。第2種則是直接進行攻擊。
  • ImageMagick近來漏洞百出,去年即曾爆發遠端攻擊漏洞 ,威脅全球高達數百萬網頁伺服器,年初臉書也曾發現該項漏洞

最近 ImageMagick 漏洞蠻多的,使用的都要多注意。

下述摘錄自此篇:ImageMagick內含可遠端執行程式的重大安全漏洞

  • 此一重大漏洞的編號為CVE-2016–3714,只要是允許使用者上傳圖像的網站都會受到影響,駭客可上傳惡意圖像以迫使伺服器執行任意程式。

Save

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

在〈ImageMagick 造成 Yahoo Mail 的 Yahoobleed 漏洞〉中有 1 則留言

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料