Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/02/2012
Dos vulnerabilidades en ImageMagick
Han sido reportadas dos vulnerabilidades en ImageMagick, que puede ser explotada por usuarios maliciosos para provocar una denegación de servicio (Denial of Service) y, potencialmente, comprometer un sistema vulnerable.1) Un error al analizar el desplazamiento y contar los valores y contar en la etiqueta ResolutionUnit IFD0 de los datos EXIF puede ser explotado para corromper la memoria a través de una imagen diseñada especialmente.
Una explotación exitosa de esta vulnerabilidad podría permitir la ejecución de código arbitrario.
2) Un error al analizar un IFD en las etiquetas PIO que apuntan al inicio de la IFD puede ser explotado para provocar un bucle infinito a través de una imagen especialmente diseñada.
ImageMagick 6.x
Referencias:CVE-2012-0247, CVE-2012-0248
Solución:Actualizar a la versión 6.7.5-1.
Notas:http://www.imagemagick.org/discourse-server/viewtopic.php?f=4&t=20286