Инструмент командной строки, который используется миллионами веб-сайтов для работы с форматами изображений, имеет несколько критических уязвимостей, позволяющих преодолеть защиту веб-серверов. Для этого в веб-приложения, использующие библиотеки imagick (PHP), rmagick и papercli (Ruby) и imagemagick (Node.js), загружаются особым образом препарированные изображения. Большое влияние имеет и отсутствием официального патча и наличием программ-взломщиков для этих «дыр».

Специалисты уже разработали концептуальный эксплойт для этого набора уязвимостей, названного ими ImageTragick. Они также создали веб-сайт с рекомендациями для разработчиков и администраторов по снижению рисков до выхода полноценного патча.

Отметим, ранее специалист отдела безопасности Mail.Ru Николай Ермишкин сообщил о проблемах разработчикам ImageMagick, которые попытались устранить уязвимости в версии 6.9.3-9, выпущенной 30 апреля. Однако патч оказался неполным и бреши в защите все ещё можно использовать.