雅虎弃用ImageMagick 研究员每个字节获778美元

安全研究员Chris Evans用18个字节演示了如何泄露雅虎私人邮件图像，且每个字节均获778美元。

尽管该0day漏洞已修复，但雅虎认为ImageMagick在库中多余，因此将其弃用。Evans指出，“此前的*bleed漏洞一般是带外读取，但这个0day漏洞使用了未初始化内存。一个未初始化的图像解码缓冲是图像呈现在客户端的基础。它会泄露服务器端的内存。这种漏洞类型跟带外读取相比更为隐秘，因为服务器永远不会崩溃。然而，被泄的机密信息将仅限于出现在被释放堆块中。”

修复很简单：

(void)ResetMagickMemory(pixels,0,pixel_info_length);

在未修复的版本中，Evans能够将一个18字节的文件附在一条信息之后并将其发送给自己，然后启动预览面板。Linux版本和其它ImageMagick的主流用户需要修复这个漏洞。去年，相关但分离的GraphicsMagick修复了同样的问题。

Evans将所获奖励捐给一个慈善机构，雅虎获悉后奖励其双倍奖金。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。