Des chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 les d\u00e9tails de deux failles de s\u00e9curit\u00e9 dans l’open source Logiciel ImageMagick<\/a> qui pourraient potentiellement conduire \u00e0 un d\u00e9ni de service (DoS) et \u00e0 la divulgation d’informations.<\/p>\n Les deux probl\u00e8mes, qui ont \u00e9t\u00e9 identifi\u00e9s par la soci\u00e9t\u00e9 latino-am\u00e9ricaine de cybers\u00e9curit\u00e9 Metabase Q dans la version 7.1.0-49, \u00e9taient adress\u00e9<\/a> dans ImageMagick version 7.1.0-52<\/a>sorti en novembre 2022.<\/p>\n Une br\u00e8ve description des d\u00e9fauts est la suivante –<\/p>\n Cela dit, un attaquant doit pouvoir t\u00e9l\u00e9charger une image malveillante sur un site Web \u00e0 l’aide d’ImageMagick afin de militariser les failles \u00e0 distance. L’image sp\u00e9cialement con\u00e7ue, quant \u00e0 elle, peut \u00eatre cr\u00e9\u00e9e en ins\u00e9rant un morceau de texte<\/a> qui sp\u00e9cifie certaines m\u00e9tadonn\u00e9es du choix de l’attaquant (par exemple, “-” pour le nom de fichier).<\/p>\n “Si le nom de fichier sp\u00e9cifi\u00e9 est ‘-‘ (un seul tiret), ImageMagick essaiera de lire le contenu \u00e0 partir de l’entr\u00e9e standard, laissant potentiellement le processus attendre pour toujours”, ont d\u00e9clar\u00e9 les chercheurs dans un rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n De la m\u00eame mani\u00e8re, si le nom de fichier fait r\u00e9f\u00e9rence \u00e0 un fichier r\u00e9el situ\u00e9 sur le serveur (par exemple, “\/etc\/passwd”), une op\u00e9ration de traitement d’image effectu\u00e9e sur l’entr\u00e9e pourrait potentiellement int\u00e9grer le contenu du fichier distant une fois qu’il est termin\u00e9.<\/p>\n Ce n’est pas la premi\u00e8re fois que des failles de s\u00e9curit\u00e9 sont d\u00e9couvertes dans ImageMagick. En mai 2016, plusieurs failles ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans le logiciel, dont l’une, baptis\u00e9e ImageTragick<\/a>ont pu \u00eatre utilis\u00e9s de mani\u00e8re abusive pour obtenir l’ex\u00e9cution de code \u00e0 distance lors du traitement d’images soumises par l’utilisateur.<\/p>\n\n
![\"Traitement](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1675284691_614_Des-chercheurs-decouvrent-de-nouveaux-bogues-dans-lutilitaire-de-traitement.png\" "\\"Traitement")
<\/div>\n![\"Traitement](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1675284691_516_Des-chercheurs-decouvrent-de-nouveaux-bogues-dans-lutilitaire-de-traitement.png\" "\\"Traitement")
<\/div>\n