本文讲的是ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏

在安全研究员发现图片处理库ImageMagick存在严重漏洞、可导致服务器内存数据泄漏错误后,雅虎工程师决定把自家网站上的这个库换掉。而由于ImageMagick的高权限,用户收件箱里的邮件图片可能会泄露。

ImageMagick擅长处理Web服务器上的各种图片格式,是全球范围都很流行的Web开发者工具包,国内许多互联网公司也都在用。但它在安全上不太行,曾经出现过许多漏洞,其中最著名的一个叫魔图攻击(ImageTragick),上传图片即可远程命令执行,当时在国内影响极大。

随着时间推移,特别是16年5月的魔图攻击曝光后,很多开发者都开始转换到新的图片处理库,而雅虎还在继续使用。

漏洞可泄漏雅虎服务器上的图片数据

去年冬天,安全研究员Chris Evans在ImageMagick中发现一个新的漏洞(编号CESA-2017-0002),他在安全博客上详细说明了漏洞的技术原理。

根据他的文章简化来讲,Evans制作了一张包含攻击代码的畸形图片,将其作为附件发邮件给自己。

当邮件和附件进入雅虎的邮箱服务器,ImageMagick库会自动处理图片,生成缩略图和预览图。这使得雅虎的ImageMagick库直接执行了攻击代码。

攻击代码的作用是:让ImageMagick库在处理附件图片的时候,生成错误的预览图。预览图将包括当前服务器内存里的图片。

幸运的是,Evans获取的图片是破损的,没有任何可用信息。Evans也没有尝试改进代码来获得更清晰的图片,因为那将侵犯用户隐私,并破坏雅虎的漏洞赏金计划的规则。

14000美元漏洞赏金和慈善捐赠

收到漏洞报告后,雅虎工程师进行内部评估,讨论的最佳修复方案是退出ImageMagick不再使用。

雅虎向Evans发放了14000美元。根据漏洞赏金计划规则,Evans选择将赏金捐赠给慈善机构,雅虎进行了双倍金额捐赠。

在向雅虎报告之前,Evans还向ImageMagick官方报告了漏洞,ImageMagick在两个月前发布的v7.0.5-1已经修复。

发现此次漏洞后,Evans将其命名为“Yahoobleed #1”。最近几个月,他还发现了Linux桌面系统的几处漏洞。

原文发布时间为:2017年5月23日
本文作者:longye 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏相关推荐

  1. 以太坊再爆高危漏洞!黑客增发ATN 1100万枚token事件始末

    以太坊再爆高危漏洞!黑客增发ATN 1100万枚token事件始末 编者按:5月11日,ATN Token遭受恶意攻击,攻击者利用DSAuth库与ERC223搭配使用具有的混合漏洞,窃取了ATN的所有 ...

  2. 小心!智能合约再爆高危漏洞,两大加密货币直接变废纸!

    小心!智能合约再爆高危漏洞,两大加密货币直接变废纸! 大家都还记得,前一段时间发生的BEC智能合约的安全漏洞问题.近日,智能合约安全问题再次上演,火币Pro发布公告,暂停EDU冲提币业务,随后EDU智 ...

  3. 【黑鸟安全预警与每日资源】S2-048!Struts2 再爆高危漏洞!

    [黑鸟安全预警]S2-048!Struts2 再爆高危漏洞!目前POC已公开,请各单位检查自己的应用是否有使用了Struts2 Struts1的插件!若使用了该插件会导致不受信任的输入传入到 Acti ...

  4. 雅虎非法监控邮件内容 在美国面临集体诉讼

    北京时间5月28日早间消息,加州圣何塞地区法官高兰惠周二表示,雅虎非法监控非雅虎邮箱用户发送给雅虎邮箱用户的电子邮件内容,并使用这些信息去提高广告营收,受影响的用户可以在美国全国范围内对雅虎发起集体诉 ...

  5. Struts 2再爆高危漏洞CVE-2017-5638 绿盟科技发布免费扫描工具及产品升级包

    Apache Structs2的Jakarta Multipart parser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638.cwiki.apache.org公告了这个信息. 绿盟科 ...

  6. 推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?

    作者 | 马超 来源 | CSDN(ID:CSDNnews) 近日,全球安全事件频发,先是推特惊爆史诗级漏洞,黑客对推特进行比特币钓鱼骗局,获取了对包括美国前总统奥巴马.钢铁侠埃隆·马斯克.和世界首富 ...

  7. 推特安卓版漏洞可导致攻击者访问用户私信

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 推特表示修复了安卓版中的一个安全漏洞,它可导致攻击者访问用户的私人数据,如私信. 推特指出,"最近,我们发现并修复了安卓版推 ...

  8. Android 再爆新漏洞,9.0 以下所有手机全部中招!

    作为移动操作系统市场的龙头老大 Android,除了大版本更新发布一些新特性外,日常的小版本还是以修复诸多的 Bug 为主.但这一次的 Bug 与以往有所不同,它将影响 Android 9.0 Pie ...

  9. 再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报

    ✍前言 你好,我是YourBatman. 今天中午收到我司安全部发了一封邮件:Jackson存在安全漏洞.查了一下,这件事并不算很新鲜了(已经过了10天的样子),本文来聊聊吧. 说起来还蛮戏剧化:阿里 ...

最新文章

  1. android graphic:canvas
  2. java jdk1.5 对for循环遍历的优化
  3. 网路游侠:用防篡改和WAF保护网站安全
  4. TCP queue 的一些问题
  5. 信息学奥赛一本通C++语言——1068:与指定数字相同的数的个数
  6. mysql的两种存储方法_mysql的两种存储引擎
  7. 手机所有录音功能失效_疯狂打CALL!小米手机自带扫描文字功能,一秒识别所有文字信息!...
  8. 安川焊接机器人做圆弧运动编程_安川MOTOMAN工业机器人编程与操作(3)
  9. 一个好用的不基于时间的同步文件的软件 —— Allway sync 文件同步
  10. 《手机音频》参数与选择
  11. python开发网站实例-手把手教你写网站:Python WEB开发技术实战
  12. (7)nodejs学习---之模板引擎jadeejs
  13. 【刷题】清橙 A1339 JZPLCM(顾昱洲)
  14. php 二维数组根据某个键值倒叙、升序排序
  15. 万云网实名认证不成功_头条发文章显示实名认证接口调用失败,无法发送,怎么办才能解决?我实名了的?...
  16. 赛迪网:VMware访谈实录
  17. 怎么把安卓手机便签小工具添加到手机桌面显示呢?
  18. Ubuntu卸载cuda10.0
  19. SpringCloud Alibaba Sentinel实现熔断与断流
  20. simulink仿真及代码生成技术入门到精通_行星排混动从入门到精通(结构)

热门文章

  1. 个人随笔-求学求职-工作经历-计划
  2. 上海控安入选首批工控安全防护能力贯标咨询机构名单
  3. 渝粤题库 陕西师范大学《西方文论》作业
  4. shell编程(二)
  5. WGCNA 简明指南|2. 模块与性状关联分析并识别重要基因
  6. Java中浮点数原理及精度丢失问题
  7. 初次联系导师短信模板_复试消息汇总!复试资料到位,联系导师模板到位,只等你!...
  8. java.lang.IllegalArgumentException: Can not set java.lang.Integer field com.pojo.Fruit.price to java
  9. 播放数万 | 一文学会Cytoscape网络图绘制 - 最新教程
  10. spring mav创建和注销session