安全公告編號:CNTA-2016-0062

近期，國家信息安全漏洞共享平臺（CNVD）收錄了ImageMagick存在的TIFF文件遠程代碼執行漏洞（CNVD-2016-11927，對應CVE-2016-8707）。綜合利用該漏洞，攻擊者有可能發起遠程執行代碼,由于該應用在互聯網企業中較為廣泛，有可能導致一定規模的攻擊。

一、漏洞情況分析

ImageMagick軟件是用C語言編寫的，可用來顯示、轉換以及編輯圖形，支持超過200種圖像文件格式，并且可以跨平臺運行。ImageMagick軟件被許多編程語言所支持，包括Perl，C++，PHP，Python和Ruby等，并被部署在數以百萬計的網站，博客，社交媒體平臺和流行的內容管理系統(CMS)。由于在ImageMagicks的轉換實用程序中，TIFF圖像壓縮處理存在一個寫邊界的問題。攻擊者利用一個精心編制的TIFF文件，可以導致邊界溢出，發起遠程命令執行攻擊。

CNVD對該漏洞的技術評級為“高危”。

二、漏洞影響范圍

漏洞影響ImageMagick<7.0.3-9版本。

三、漏洞修復建議

目前，廠商已提供漏洞修補方案。用戶可將程序升級至7.0.3-9版本。CNVD建議用戶關注廠商主頁，升級到最新版本，避免引發漏洞相關的網絡安全事件。

附：參考鏈接：

http://www.imagemagick.org/script/changelog.php

http://www.imagemagick.org/script/binary-releases.php（補丁地址）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11927