Popüler açık kaynaklı görüntü manipülasyon yazılımı Imagemagick, Google’ın yapay zeka destekli güvenlik araştırma aracı Big Sleep tarafından keşfedilen dört kritik güvenlik açıklığını ele aldı.
Dünya çapında görüntü işleme için Imagemagick’e dayanan milyonlarca uygulamayı etkileyen bu kusurlar, sorumlu ifşa protokollerinin ardından en son yazılım sürümlerinde yamalanmıştır.
Siber güvenlikte AI atılım
Google’ın DeepMind ve Project Zero ekipleri tarafından işbirliği içinde geliştirilen büyük uykusu, otomatik güvenlik açığı tespitinde çığır açan bir ilerlemeyi temsil ediyor.
AI ajanı, insan müdahalesi olmadan dört Imagemagick güvenlik açıklarını başarıyla tanımladı ve yeniden üretti, ancak insan uzmanları açıklamadan önce son incelemeler gerçekleştirdi.
Bu başarı, Big Sleep’in sadece tehdit aktörleri tarafından bilinen kritik bir SQLite güvenlik açığının sömürülmesini önlemede önceki başarısını takip ediyor.
- CVE-2025-55154, CVE-2025-55004, CVE-2025-55005 ve CVE-2025-55160 olarak izlenen dört farklı güvenlik açığı.
- CVSS skorları 5.5 ila 8.8 arasında değişen, en yüksek şiddet “yüksek” olarak sınıflandırılmıştır.
- Bigsleep tanımlayıcı sistemi tüm yapay zeka keşfedilen güvenlik açıklarını izlemek için kullanılır.
- Urban-Warrior Güvenlik Araştırmacısı tarafından Github Güvenlik Avukatları aracılığıyla yayınlanmıştır.
- Sorumlu ifşa süreci, kamu açıklamasından önce yayınlanan yamalarla birlikte izledi.
CVE-2025-55154 (CVSS 8.8), CVE-2025-55004 (CVSS 5.5) ve CVE-2015-2025-55160 (CVSS 6.1) tarafından yayınlandı.
Her güvenlik açığı, Bigsleep tanımlayıcısını taşır ve keşiflerini Google’ın yapay zeka ile çalışan araştırma programı aracılığıyla gösterir.
Teknik Etki ve Riskler
En şiddetli güvenlik açığı olan CVE-2025-55154, ReadonEnngImage işlevindeki MNG (çoklu görüntü ağ grafikleri) büyütme hesaplamalarındaki tamsar taşmalarını içerir.
Özel olarak hazırlanmış MNG dosyalarını işlerken, güvenli olmayan aritmetik işlemler tamsayı sınırlarını aşabilir, bu da yığın arabelleği taşmalarına ve potansiyel keyfi kod yürütülmesine yol açar.
Kusur, hem çarpma hem de ilave işlemlerinin taşabileceği Magnified_width değerlerinin hesaplanmasını özellikle etkiler, bu da daha küçük istenmeden daha küçük tampon tahsislerine neden olur.
CVE-2025-55004, görüntüleri ayrı alfa kanallarıyla kullanırken görüntü büyütme sırasında bir yığın tamponu taşma okuma güvenlik açığı sunar.
Bu kusur potansiyel olarak hassas bellek içeriğini çıktı görüntülerine sızdırabilir ve kullanıcı tarafından sağlanan görüntüleri işleyen uygulamalar için gizlilik riskleri oluşturabilir.
Güvenlik açığı, ALPHA_TRAIT, sürüm ortasında güncellendiğinde, tahsis edilen tampon boyutları ve gerçek kanal gereksinimleri arasında bir uyumsuzluk oluşturduğunda meydana gelir.
Üçüncü güvenlik açığı olan CVE-2025-55005, log renkleri dönüşüm işlemesini etkiler, burada referans-siyah ve referans-beyaz değer işleme sırasında yetersiz sınırların kontrolü yığın bulemeyi tetikleyebilir.
Bu arada, CVE-2025-55160, ClonsplayTree işlemlerinde tanımlanmamış davranışlara neden olur, bu da sterilin özellikli yapılarda deterministik çökmelerle sonuçlanır, ancak standart dağıtımlarda minimum güvenlik riski oluşturur.
Imagemagick kullanıcıları, bu güvenlik açıklarına karşı korumak için hemen yamalı sürümlere yükseltilmelidir.
7.x şubesi için, 7.1.2-1 sürümü dört kusurun hepsini ele alırken, Legacy 6.x kullanıcıları 6.9.13-27 sürümüne güncellenmelidir.
Web uygulamalarında, içerik yönetimi sistemlerinde ve otomatik görüntü işleme iş akışlarında Imagemagick kullanan kuruluşlar, bu güvenlik açıkları ağ iletilen kötü niyetli görüntüler aracılığıyla tetiklenebileceğinden, belirli bir riskle karşı karşıyadır.
Güvenlik uzmanları, görüntü dosyaları için katı giriş validasyonu, görüntü boyutlarını sınırlayan kısıtlayıcı güvenlik politikalarının uygulanması ve anomaliler için görüntü işleme işlemlerinin izlenmesi de dahil olmak üzere ek koruyucu önlemlerin uygulanmasını önerir.
Bu güvenlik açıklarının keşfi, Imagemagick’in karmaşık güvenlik ortamının altını çiziyor ve yazılım tarihsel olarak 200’den fazla görüntü formatına verdiği destek nedeniyle çok sayıda bellek güvenliği sorunu yaşıyor.
Bu atılım, yapay zekanın siber güvenlikte dönüştürücü potansiyelini göstermektedir, büyük uyku artık hem Google’ın ekosistemini hem de açık kaynaklı projeleri aktif olarak güvence altına alıyor.
Google’ın mühendislik başkan yardımcısı Royal Hansen’in belirttiği gibi, bu bulgular “otomatik güvenlik açığı keşfinde yeni bir sınır” temsil ediyor, bu da AI destekli güvenlik araçlarının, gerçek dünya saldırılarında kullanılmadan önce siber tehditlerin belirlenmesinde ve önlenmesinde giderek daha önemli bir rol oynayacağını düşündürmektedir.
AWS Security Services: 10-Point Executive Checklist - Download for Free