导语:当带攻击代码的图片作为邮件附件进入雅虎的邮箱服务器,ImageMagick库会自动处理图片,生成缩略图和预览图。这使得雅虎的ImageMagick库直接执行了攻击代码。

Yahoo-accounts.jpg

在安全研究员发现图片处理库ImageMagick存在严重漏洞、可导致服务器内存数据泄漏错误后,雅虎工程师决定把自家网站上的这个库换掉。而由于ImageMagick的高权限,用户收件箱里的邮件图片可能会泄露。

ImageMagick擅长处理Web服务器上的各种图片格式,是全球范围都很流行的Web开发者工具包,国内许多互联网公司也都在用。但它在安全上不太行,曾经出现过许多漏洞,其中最著名的一个叫魔图攻击(ImageTragick),上传图片即可远程命令执行,当时在国内影响极大。

随着时间推移,特别是16年5月的魔图攻击曝光后,很多开发者都开始转换到新的图片处理库,而雅虎还在继续使用。

漏洞可泄漏雅虎服务器上的图片数据

去年冬天,安全研究员Chris Evans在ImageMagick中发现一个新的漏洞(编号CESA-2017-0002),他在安全博客上详细说明了漏洞的技术原理。

根据他的文章简化来讲,Evans制作了一张包含攻击代码的畸形图片,将其作为附件发邮件给自己。

当邮件和附件进入雅虎的邮箱服务器,ImageMagick库会自动处理图片,生成缩略图和预览图。这使得雅虎的ImageMagick库直接执行了攻击代码。

攻击代码的作用是:让ImageMagick库在处理附件图片的时候,生成错误的预览图。预览图将包括当前服务器内存里的图片。

幸运的是,Evans获取的图片是破损的,没有任何可用信息。Evans也没有尝试改进代码来获得更清晰的图片,因为那将侵犯用户隐私,并破坏雅虎的漏洞赏金计划的规则。

14000美元漏洞赏金和慈善捐赠

收到漏洞报告后,雅虎工程师进行内部评估,讨论的最佳修复方案是退出ImageMagick不再使用。

雅虎向Evans发放了14000美元。根据漏洞赏金计划规则,Evans选择将赏金捐赠给慈善机构,雅虎进行了双倍金额捐赠。

在向雅虎报告之前,Evans还向ImageMagick官方报告了漏洞,ImageMagick在两个月前发布的v7.0.5-1已经修复。

发现此次漏洞后,Evans将其命名为“Yahoobleed #1”。最近几个月,他还发现了Linux桌面系统的几处漏洞。

源链接

Hacking more

...