| 0 |
|
Инструмент командной строки, используемый миллионами веб-сайтов для создания, редактирования и преобразования форматов изображений, имеет несколько критических уязвимостей, которые позволяют хакерам преодолеть защиту веб-серверов. Для этого в веб-приложения, использующие библиотеки imagick (PHP), rmagick и papercli (Ruby) и imagemagick (Node.js), загружаются особым образом препарированные изображения.
Положение осложняется отсутствием официального патча и наличием программ-взломщиков для этих «дыр».
Николай Ермишкин из команды безопасности Mail.Ru ранее сообщил о проблемах разработчикам ImageMagick, которые попытались устранить уязвимости в версии 6.9.3-9, выпущенной 30 апреля. Однако патч оказался неполным и бреши в защите все ещё можно использовать.
Имеются свидетельства того, что о данных уязвимостях известно не только исследователям и разработчикам продукта, именно это побудило сообщить о них публично в прошедший вторник.
Исследователи уже разработали концептуальный эксплойт для этого набора уязвимостей, названного ими ImageTragick. Они также создали веб-сайт с рекомендациями для разработчиков и администраторов по снижению рисков до выхода полноценного патча.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
