Yahoo! desincorpora ImageMagick después de ser revelada vulnerabilidad CVE-2017–9098

ImageMagick es una biblioteca para mostrar, convertir y editar imágenes, que ha existido por veintiséis años. A lo largo de todos estos años, ImageMagick ha contado con un historial de fallas de seguridad bastante importante.

El investigador Chris Evans, de Google, descubrió que enviando un archivo de imagen especialmente diseñado a través de Yahoo! Mail, podría traer a través de un búfer sobre-leído en la memoria del sistema, archivos adjuntos de imágenes de otros usuarios. El apodo de la vulnerabilidad es Yahoobleed, y está es identificada como CVE-2017–9098.

242 es el número de vulnerabilidades registradas en ImageMagick hasta el día de hoy.

La vulnerabilidad fue lo suficientemente grave como para obligar a Yahoo! a pagar una recompensa de $ 14.000 dólares que posteriormente Evans donaría. Y quizás lo más sorprendente, es la decisión de desincorporar completamente la biblioteca ImageMagick del ecosistema de Yahoo!.

Algo interesante, GraphicsMagick es una bifurcación de ImageMagick creada en 2002. Esta misma vulnerabilidad fue reportada a los desarrolladores de GraphicsMagick y fue remendada hace casi un año, en marzo de 2016. Los sombreros negros particularmente astutos podrían haber estado explotando esta vulnerabilidad por casi un año debido a una simple falla de comunicación entre ambos proyectos.

Sobre la vulnerabilidad CVE-2017–9098

ImageMagick antes 7.0.5–2 y GraphicsMagick antes 1.3.24 usan memoria no inicializada en el decodificador RLE, permitiendo que un atacante obtenga información sensible en el espacio de memoria. Esto se debe a un paso de inicialización faltante en la función ReadRLEImage en coders/rle.c.

La vulnerabilidad CVE-2017–9098 fue corregida por ImageMagick y ya se encuentran disponibles las actualizaciones correspondientes en las versiones ImageMagick 7.0.5–2 y 6.9.8–1.