ImageMagick爆0day漏洞全球伺服器遭殃
“0day漏洞”是指一些沒有公佈補丁的漏洞,或者是還沒有被漏洞發現者公佈出來的漏洞利用工具,作為網路安全的巨大威脅,往往會給你的伺服器致命一擊。5月3日,影像處理軟體ImageMagick就被公佈出一個嚴重的0day漏洞(CVE-2016-3714),攻擊者通過此漏洞可執行任意命令,最終竊取重要資訊取得伺服器控制權。
首先讓我們來了解一下“ImageMagick”這個影像處理軟體,ImageMagick是一個免費的建立、編輯、合成圖片的軟體。它可以讀取、轉換、寫入多種格式的圖片。圖片切割、顏色替換、各種效果的應用,圖片的旋轉、組合,文字,直線,多邊形,橢圓,曲線,附加到圖片伸展旋轉。ImageMagick是免費軟體:全部原始碼開放,可以自由使用,複製,修改,釋出,它遵守GPL許可協議,可以執行於大多數的作業系統,ImageMagick的大多數功能的使用都來源於命令列工具。
由於其強大的功能以及超強的可操作性,是的這款作圖軟體深得廣大辦公人士喜愛,正因為如此,此次0day漏洞所帶來的影響超乎了人們的想象。諸多網站論壇都深受其害,其中不乏百度、阿里、騰訊、新浪等知名網站,一時間,業界各大網站及企業都人人自危,紛紛自查,以免中招。
那麼這個漏洞是才去的怎樣一個攻擊方式呢?其實非常簡單,黑客只需上傳一張“被感染”的圖片就可以對網站程式的 imagick 擴充套件進行攻擊,利用漏洞執行圖片中內建的惡意命令。哪怕是提示圖片上傳失敗,imagick 擴充套件也會因程式碼流程而進行了處理,所以這種情況下即使圖片沒有真的傳到伺服器上,攻擊也是可以成功的,這也正是它最為可怕的地方。
目前該漏洞還沒有大面積爆發,但危機意識還是要有的,必要的自查防範依舊必不可少。既然此漏洞如此強悍,又有什麼方式可以擺脫漏洞的危害呢?截至出稿,軟體官方還沒能給出一個強有力的應對措施。但還是給出了一些臨時的應對措施。
聰明的人讀到這裡已經開始了自查模式,不要亡羊補牢,等到躺槍的時候就什麼都晚了,話不多說,小編也要閃人了,畢竟小編是一個未(hao)雨(chi)綢(lan)繆(zuo)的人。
此次漏洞不容小覷,望諸位珍重。
本文轉自d1net(轉載)
相關文章
- 知名遊戲外設公司雷蛇爆0day漏洞,鍵鼠成為攻擊工具遊戲
- WinRAR(5.21)-0day漏洞-始末分析
- 黑客開價50萬拋售0day漏洞,揭zoom爆紅後的安全“多宗罪”黑客OOM
- Fedora 和 Ubuntu 曝出0day漏洞Ubuntu
- Java又爆致命漏洞Java
- Discuz! X2 SQL注射漏洞 0daySQL
- 全球37%智慧手機可遭竊聽,聯發科晶片爆安全漏洞晶片
- 專訪黑客wordexp:哪些0day漏洞沒公開?黑客
- Spring框架爆安全漏洞Spring框架
- Java 7.x爆高危漏洞Java
- Edge瀏覽器 再爆0day,可遠端執行程式碼瀏覽器行程
- 不要隨便開啟Office文件,微軟又有高危0day漏洞微軟
- 谷歌詳細披露4個0day漏洞!已有黑客正在利用谷歌黑客
- 蘋果釋出安全更新,修復已被利用的0day漏洞蘋果
- 微軟10月累積更新,修復4個0day漏洞微軟
- Rails框架再爆嚴重安全漏洞AI框架
- Rails 3爆SQL隱碼攻擊漏洞AISQL
- Firefox 0day 漏洞被用於攻擊 Coinbase 僱員Firefox
- 谷歌釋出安全更新,修復今年第十個0day漏洞谷歌
- ZDI研究人員披露四個Microsoft Exchange中的0day漏洞ROS
- 微軟三月補丁更新修復3個0day漏洞微軟
- 安裝PHP ImageMagick筆記PHP筆記
- MAC中用ImageMagick轉換影像Mac
- 【漏洞】OA辦公系統“烽火狼煙”,高危漏洞攻擊爆發
- 修復6個0day漏洞,微軟11月累積更新發布微軟
- 伺服器解析漏洞伺服器
- Pandownload 開發者被捕;微軟修復 3 個 0day 漏洞;福特、大眾被曝網路安全漏洞微軟
- ImageMagick使用for java(im4java)Java
- docker引起伺服器磁碟爆滿Docker伺服器
- 攻擊者宣稱可利用 0day 漏洞完全控制 Android 手機Android
- Oracle WebLogic 曝 0day 漏洞,攻擊者可遠端執行命令OracleWeb
- Log4J 2.16.0版本又爆新漏洞
- 三星智慧手機又爆安全漏洞
- Windows7RC版曝出首個0day漏洞可致電腦藍屏Windows
- 每日安全資訊:SandboxEscaper 又釋出了一個微軟 0day 危急漏洞微軟
- 攻擊不斷!QNAP 警告利用0day漏洞Deadbolt 勒索軟體攻擊
- 攻擊者正利用DrayTek路由器0day漏洞修改DNS設定路由器DNS
- 0day漏洞組合拳:詳細分析一款惡意PDF樣本