Kitaplık, ciddi hataların geçmişi göz önüne alındığında bir şekilde bir görüntü sorununa sahip
Yeni bir araç, geliştiricilerin geçmişte çeşitli güvenlik açıklarından muzdarip olan popüler dosya dönüştürücü ImageMagick’teki güvenlik açıklarına karşı kendilerini daha iyi korumalarını sağlar.
ImageMagick, web siteleri tarafından dosyaları dönüştürmek için kullanılır ve şu anda 100’den fazla türün dönüştürülmesini destekler.
Araç, sunduğu çok sayıda dönüşüm nedeniyle popüler olduğunu kanıtlamış olsa da, yıllar içinde bir dizi kritik güvenlik açığına da maruz kalmıştır.
En son web güvenlik açığı haberlerinin devamını okuyun
2016’da araştırmacılar, kitaplıkta bir dizi güvenlik açığı olan ImageTragick’i yayınladı ve bunlardan biri hazırlanmış kötü amaçlı bir görüntü aracılığıyla uzaktan kod yürütülmesine (RCE) yol açabilir.
İki yıl sonra, Google Project Zero’dan Tavis Ormandy, harici programların desteklenmesinin ImageMagick’i RCE’ye karşı nasıl savunmasız bırakabileceğine ilişkin ayrıntıları yayınladı.
Ardından 2020’de araştırmacı Alex Inführ, ImageMagick’te bir kabuk enjeksiyon güvenlik açığı buldu ve 2021’de Synacktiv araştırmacıları, kitaplıktaki bilinen kusurları kullanarak keyfi dosya yüklemeyi nasıl başardıklarını gösterdiler.
Politika sorunu
Kullanıcıları bu tür hatalara karşı korumak için ImageMagick, geliştiriciler tarafından özelleştirilebilen bir güvenlik politikası içerir.
Aracın yazarı Doyensec’ten Lorenzo Stella’ya göre, “çok ayarlanabilir politika mekanizması”, kütüphanenin tolere edebileceği tüm belirli dahili eşikleri ve özellikleri ayarlayan seçeneklere sahip. günlük yudum.
Ancak Stella, politikanın bazen yalnızca kütüphaneye aşina olan kişilerin tanıyabileceği terimler içerdiğinden kafa karışıklığına neden olabileceğini de sözlerine ekledi. “Üstelik, mevcut tüm seçenekler bu sayfada listelenmiyor, bu nedenle kod genellikle tek gerçek belgeleme oluyor” dedi.
ImageMagick Güvenlik İlkesi Tarayıcısı adı verilen yeni araç, bu nedenle kullanıcıların kendilerine uygun olanı belirlemek için sunulan güvenlik ilkelerini değerlendirmelerine olanak tanır.
GÜNLÜK YUTMA GİBİ Mİ? Anketimizi doldurarak bize ne düşündüğünüzü söyleyin ve Burp Suite promosyonunu kazanma şansını yakalayın.
Bu hafta (10 Ocak) yayınlanan bir blog gönderisinde Stella şunları yazdı: “Mevcut seçeneklerin sayısı ve tüm güvenli olmayan ayarları açıkça reddetme ihtiyacı nedeniyle, bu genellikle manuel bir görevdir ve gücü zayıflatan ince baypasları belirlemeyebilir. bir politikanın
“Çalışıyor gibi görünen ancak gerçek bir güvenlik avantajı sağlamayan ilkeler belirlemek de kolaydır.
“Aracın kontrolleri, politikaların anlamlı bir güvenlik avantajı sağladığından ve saldırganlar tarafından altüst edilemeyeceğinden emin olmak için geliştiricilerin politikalarını sağlamlaştırmasına ve uygulamalarının güvenliğini artırmasına yardımcı olmayı amaçlayan araştırmamıza dayanmaktadır.”
CSP Değerlendirici benzerlikleri
Araştırmacı, aracın bir politikadaki güvenlik açıklarını anında belirleyebilmesi ve hem denetçiler hem de geliştiriciler tarafından kullanılmak üzere tasarlanması açısından Google’ın CSP değerlendiricisine benzediğini söyledi.
Stella ayrıca, geliştiricilerin politikayı kendi ortamlarında nasıl daha da sağlamlaştırabileceklerini, farklı komutları tanımlayabileceklerini, politikanın uygulanıp uygulanmadığını nasıl doğrulayabileceklerini ve daha fazlasını açıklayan bir kılavuz ekledi.
Şunu ekledi: “Bir ImageMagick kurulumunu güvenceye almanın, güvenli bir politika belirlemekle bitmediğini, bunun yerine bir dizi başka derinlemesine savunma uygulamasıyla birlikte yapılması gerektiğini unutmamak önemlidir.
ImageMagick’teki güvenlik ekibinin güvenlik sayfalarına araca bir referans eklediğini belirten Stella, “Bildiğim kadarıyla, bu ImageMagick için türünün ilk örneği” dedi.
ÖNERİLEN Threema, kripto kusurlarının ifşa edilmesine karşı çıkıyor, güvenlik kanadını harekete geçiriyor