【安全警报】ImageMagick 6.9 漏洞分析 (CVE-2016-10065)

漏洞概述

近日，ImageMagick 安全团队披露了一个存在于 ImageMagick 6.9.x 及之前版本中的高危安全漏洞。该漏洞被编号为 CVE-2016-10065，漏洞类型为 Out-of-bounds Read（越界读取），CVSS 评分较高，可被远程攻击者利用以读取服务器敏感内存数据，甚至可能导致服务中断或进一步的安全风险。

该漏洞被发现于 coders/viff.c 文件中的 ReadVIFFImage 函数，影响范围涵盖 ImageMagick 6.9.13-14 及更早版本，同时也影响 ImageMagick 7.0.1-0 之前的 7.x 版本。

漏洞详情

| 项目 | 描述 | |------|------| | 漏洞编号 | CVE-2016-10065 | | 漏洞类型 | Out-of-bounds Read（越界读取） | | 严重程度 | High（高危） | | 受影响组件 | coders/viff.c - ReadVIFFImage 函数 | | 影响版本 | ImageMagick <= 6.9.13-14, < 7.0.1-0 |

漏洞成因

ReadVIFFImage 函数在处理 VIFF（Visual Image File Format）格式文件时存在边界检查不严的问题。当解析特制的 VIFF 图像文件时，函数未能正确验证图像数据的边界范围，导致攻击者可以通过构造恶意文件触发越界读取操作。

具体问题点在于：

• 缺乏有效的数组边界验证：函数在读取 VIFF 文件头信息和像素数据时，未对索引值进行充分校验
• 信任用户输入：文件尺寸参数未经过安全验证即被用于内存访问
• 多字节处理不当：在处理 16 位及 32 位像素数据时，偏移量计算存在缺陷

技术分析

漏洞触发原理

正常流程：
┌─────────────────────────────────────────────────┐
│  读取 VIFF 文件头 → 解析图像尺寸 → 分配内存 → 读取像素数据  │
└─────────────────────────────────────────────────┘

漏洞流程：
┌─────────────────────────────────────────────────┐
│  读取 VIFF 文件头 → 解析图像尺寸 → 分配内存 → ⚠️ 越界读取像素数据  │
└─────────────────────────────────────────────────┘

当攻击者构造一个 尺寸字段被篡改 的 VIFF 文件时：

1. 文件头声明的图像宽度/高度大于实际分配的缓冲区
2. ReadVIFFImage 函数直接使用这些值进行内存寻址
3. 后续的像素数据读取操作将访问 超出合法范围的内存地址

潜在危害

• 内存信息泄露：攻击者可读取服务器内存中的敏感数据
• 拒绝服务（DoS）：越界读取可能触发段错误，导致程序崩溃
• 辅助攻击：泄露的内存数据可能包含密钥、会话令牌等敏感信息，为进一步攻击提供条件

影响版本

以下版本均受此漏洞影响：

• ImageMagick 6.9.x：<= 6.9.13-14
• ImageMagick 7.0.x：< 7.0.1-0

提示：ImageMagick 7.0.1-0 及更新版本已修复此漏洞。

修复建议

方案一：升级 ImageMagick

强烈建议 将 ImageMagick 升级至最新稳定版本：

# CentOS/RHEL 系统
yum update ImageMagick

# Debian/Ubuntu 系统
apt-get update && apt-get upgrade imagemagick

# 源码编译安装（指定版本）
wget https://download.imagemagick.org/ImageMagick-7.0.1-0.tar.gz
tar -xzf ImageMagick-7.0.1-0.tar.gz
cd ImageMagick-7.0.1-0
./configure && make && make install

方案二：临时防护措施

如无法立即升级，可采取以下临时措施：

1. 禁用 VIFF 格式处理：在 /etc/ImageMagick-6/policy.xml 中添加：

   <policy domain="coder" rights="none" pattern="VIFF" />
   

2. 限制文件上传：对用户上传的图像文件进行严格的格式验证

3. 启用安全模式：

   <policy domain="coder" rights="none" pattern="*" />
   <policy domain="coder" rights="read|write" pattern="JPEG" />
   <policy domain="coder" rights="read|write" pattern="PNG" />
   

总结

CVE-2016-10065 是一个严重的安全漏洞，存在于 ImageMagick 的 VIFF 图像格式处理模块中。攻击者可通过诱导用户处理恶意 VIFF 文件触发越界读取，获取敏感信息或导致服务中断。

关键行动项：

• ✅ 立即排查生产环境中 ImageMagick 的版本信息
• ✅ 评估是否涉及 VIFF 格式处理功能
• ✅ 优先升级至 ImageMagick 7.0.1-0 或更高版本
• ✅ 部署临时防护策略作为过渡方案
• ✅ 建立 ImageMagick 组件的持续监控机制

安全无小事，防患于未然。请相关团队尽快响应此安全公告，确保系统安全。