Популярная библиотека для обработки изображений ImageMagick, которая используется на миллионах веб-серверов по всему миру, оказалась под ударом. Специалисты по кибербезопасности выявили сразу три опасные ошибки в коде утилиты. Все они получили уровень опасности "критический" по международной шкале CVSS. Оценка в 9,8 балла из 10 возможных означает, что злоумышленник, скорее всего, сможет полностью захватить контроль над уязвимой системой удалённо.
Детали уязвимостей
Первая уязвимость, зарегистрированная под кодом BDU:2026-09366 (CVE-2026-25897), связана с целочисленным переполнением в декодере Sun. Если говорить простыми словами, то при обработке специально созданного изображения в памяти возникает арифметическая ошибка. В итоге программа выделяет слишком мало места для данных. Это позволяет злоумышленнику перезаписать соседние области оперативной памяти и выполнить произвольный вредоносный код. Такая атака не требует от нарушителя никаких предварительных прав доступа к системе.
Вторая уязвимость (BDU:2026-09368, CVE-2026-25983) ещё серьёзнее. Ошибка типа "использование после освобождения" обнаружена в анализаторе графических форматов. Суть проблемы в том, что программа обращается к области памяти, которую уже вернула операционной системе. Это похоже на попытку войти в комнату, которую снесли. В лучшем случае атака приведёт к отказу в обслуживании - сервер просто зависнет. В худшем злоумышленник сможет украсть конфиденциальные данные или внедрить вредоносный код.
Третья уязвимость (BDU:2026-09376, CVE-2026-25986) затрагивает функцию чтения YUV-изображений. Здесь проблема в записи за границы буфера. ImageMagick при обработке нестандартного файла может записать данные туда, куда не должен. Это классический вектор для атак, при которых нарушитель добивается выполнения своего кода.
Все три уязвимости подтверждены производителем, а разработчики уже выпустили исправления. Однако самое тревожное в этой истории - масштаб поражения. Список уязвимых систем огромен. В него попали все версии Ubuntu начиная с 14.04 LTS и заканчивая свежей 26.04 LTS. Не обошли проблему и дистрибутивы Debian GNU/Linux - уязвимы версии с 11 по 13. Обновления требуют ImageMagick до версии 7.1.2-15 (для шестой ветки - до 6.9.13-40).
Помимо этого, критическая комбинация затронула российское решение - InfoWatch Traffic Monitor версии 7.9. Разработчик из "Лаборатории ИнфоВотч" уже выпустил оперативное обновление. Это неожиданный поворот, ведь Traffic Monitor - это средство защиты информации, которое должно само обнаруживать угрозы, а не становиться их жертвой.
Почему это событие важно? ImageMagick - это не просто графический редактор для консоли. Эта библиотека встроена в тысячи веб-приложений. Её используют для генерации превью, автоматической обработки загружаемых пользователями изображений и даже в системах документооборота. Фактически, любой сайт, который позволяет загрузить аватарку, может использовать ImageMagick на серверной стороне.
Нарушителю для атаки достаточно отправить специально сформированный графический файл. Он может быть замаскирован под обычное изображение. Как только сервер попытается его обработать, цепочка выполнения приведёт к срабатыванию уязвимости. Способ эксплуатации во всех трёх случаях один - манипулирование структурами данных.
Эксперты уже приступили к анализу кода на предмет появления готовых эксплойтов. Пока данных о массовых атаках нет, но это лишь вопрос времени. Как показывает практика, как только уязвимость получает CVE-идентификатор, злоумышленники быстро адаптируют её под свои нужды.
Что делать системным администраторам? Необходимо как можно скорее обновить ImageMagick до актуальной версии. Для пользователей Ubuntu и Debian обновления уже доступны через официальные репозитории. Для тех, кто использует InfoWatch Traffic Monitor, нужно установить "Оперативное обновление 1" версии 7.9. Также стоит временно ограничить приём пользовательских файлов на серверах, если обновление невозможно установить немедленно.
Ссылки
- https://bdu.fstec.ru/vul/2026-09366
- https://bdu.fstec.ru/vul/2026-09368
- https://bdu.fstec.ru/vul/2026-09376
- https://www.cve.org/CVERecord?id=CVE-2026-25897
- https://www.cve.org/CVERecord?id=CVE-2026-25983
- https://www.cve.org/CVERecord?id=CVE-2026-25986
- https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-6j5f-24fw-pqp4
- https://ubuntu.com/security/CVE-2026-25897
- https://security-tracker.debian.org/tracker/CVE-2026-25897
- https://security-tracker.debian.org/tracker/CVE-2026-25983
- https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-fwqw-2x5x-w566
- https://ubuntu.com/security/CVE-2026-25983
- https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-mqfc-82jx-3mr2
- https://security-tracker.debian.org/tracker/CVE-2026-25986
- https://ubuntu.com/security/CVE-2026-25986