JPCERTコーディネーションセンター(JPCERT/CC)は2016年5月6日、画像処理ソフト「ImageMagick(イメージマジック)」に任意のOSコマンドが実行される脆弱性があるとの注意喚起を発表した。ソフトがOSコマンドを埋め込んだ画像ファイルを読み込むことで、埋め込まれたコマンドが実行できるというもの。悪質なプログラム(ウイルスなど)をダウンロードしたり、実行したりされる危険性がある。対策はソフトをアップデートすること。
脆弱性(CVE-2016-3714)は「delegate」と呼ばれる機能に関するもので、影響を受けるバージョンは6.9.3-9とそれ以前、および7.0.1-0とそれ以前。 ImageMagick Studio LLCは5月3日に脆弱性を修正した6.9.3-10と7.0.1-1を、それぞれ公開している。また、アップデートが困難な場合の回避策も公開している。
JPCERT/CCはこの脆弱性(CVE-2016-3714)以外にも指摘されている脆弱性(CVE-2016-3715、CVE-2016-3716、CVE-2016-3717、CVE-2016-3718)があり、アップデートに合わせてイメージマジックの設定ファイル(policy.xml)に対策を施す必要があると発表している。
イメージマジックはWindows、Mac、iOS、UNIXで広く使われている画像処理ソフト。コマンドで拡大縮小や色の編集といった処理ができ、様々なプログラム中から直接呼び出して使うことができる。Webサービスで、アップロードされた画像を自動処理するためにバックエンドで使われている場合もあるとみられる。
脆弱性はイメージマジックが外部ファイルを参照する画像を読み込むとき、参照アドレスに埋め込まれたOSコマンドが実行されるもの。JPCERT/CCでも実証コードを検証し、イメージマジックを実行しているユーザー権限で任意のOSコマンドが実行できることを確認しているという。
