Beveiligingslek in ImageMagick maakt websites kwetsbaar
Een groot aantal websites zijn kwetsbaar voor cyberaanvallen door een ernstig beveiligingslek in ImageMagick, een softwaresuite die het mogelijk maakt afbeeldingen te verwerken. Het lek maakt het mogelijk willekeurige code uit te voeren op de webserver waarop een website wordt gehost.
Het lek is ontdekt door de Russische beveiligingsonderzoeker Nikolay Ermishkin van het Mail.Ru Security Team. Op Openwall trekt Karim Valiev van Mail.Ru aan de bel over het beveiligingslek. De kwetsbaarheid wordt ‘ImageTragick’ genoemd. Indien gebruikers afbeeldingen kunnen uploaden en van ImageMagick gebruik kunnen maken kan dit hen de mogelijkheid bieden willekeurige code uit te voeren op de webserver waarop een website wordt gehost.
ImageMagick heeft inmiddels een oplossing gepubliceerd waarmee de kwetsbaarheid kan worden gedicht. Dit is mogelijk door enkele regels code toe te voegen aan het bestand ‘policy.xml’. Naar verwachting wordt dit weekend een update beschikbaar gesteld waarin het lek definitief wordt gedicht.