安全公告编号:CNTA-2016-0062

近期，国家信息安全漏洞共享平台（CNVD）收录了ImageMagick存在的TIFF文件远程代码执行漏洞（CNVD-2016-11927，对应CVE-2016-8707）。综合利用该漏洞，攻击者有可能发起远程执行代码,由于该应用在互联网企业中较为广泛，有可能导致一定规模的攻击。

一、漏洞情况分析

ImageMagick软件是用C语言编写的，可用来显示、转换以及编辑图形，支持超过200种图像文件格式，并且可以跨平台运行。ImageMagick软件被许多编程语言所支持，包括Perl，C++，PHP，Python和Ruby等，并被部署在数以百万计的网站，博客，社交媒体平台和流行的内容管理系统(CMS)。由于在ImageMagicks的转换实用程序中，TIFF图像压缩处理存在一个写边界的问题。攻击者利用一个精心编制的TIFF文件，可以导致边界溢出，发起远程命令执行攻击。

CNVD对该漏洞的技术评级为“高危”。

二、漏洞影响范围

漏洞影响ImageMagick<7.0.3-9版本。

三、漏洞修复建议

目前，厂商已提供漏洞修补方案。用户可将程序升级至7.0.3-9版本。CNVD建议用户关注厂商主页，升级到最新版本，避免引发漏洞相关的网络安全事件。

附：参考链接：

http://www.imagemagick.org/script/changelog.php

http://www.imagemagick.org/script/binary-releases.php（补丁地址）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11927