CVE-2026-25986: ImageMagickにおけるヒープバッファオーバーフローの脆弱性について

概要

ImageMagickは、デジタル画像の編集や操作に広く利用されている、フリーかつオープンソースのソフトウェアです。この度、ImageMagickにおいて、悪意のあるYUV 4:2:2形式の画像を処理する際にヒープバッファオーバーフローの脆弱性（CVE-2026-25986）が報告されました。

この脆弱性は、ReadYUVImage()関数（coders/yuv.c内）において、ピクセル処理ループが割り当てられた行バッファを超えて1ピクセル書き込むことで発生するとされています。この問題は、バージョン7.1.2-15および6.9.13-40で修正されています。

影響範囲

本脆弱性の影響を受けるのは、以下のImageMagickのバージョンです。

• ImageMagick バージョン 7.1.2-15 未満
• ImageMagick バージョン 6.9.13-40 未満

特に、YUV 4:2:2形式の画像を処理する機能を使用しているシステムが影響を受ける可能性があります。

想定される影響

ヒープバッファオーバーフローの脆弱性が悪用された場合、以下のような影響が想定されます。

• ImageMagickアプリケーションのクラッシュ（サービス停止）
• 最悪の場合、攻撃者によって任意のコードが実行される可能性

メモリ領域の不正な書き換えにより、システムが不安定になったり、意図しない動作を引き起こしたりするリスクも考えられます。

攻撃成立条件・悪用状況

攻撃者は、特別に細工されたYUV 4:2:2形式の画像をImageMagickで処理させることで、本脆弱性を悪用する可能性があります。現在のところ、本脆弱性の具体的な悪用状況に関する報告は確認されていません。

推奨対策

最優先で実施すべき対策

• ImageMagickのアップデート: 速やかにImageMagickを修正済みのバージョン（7.1.2-15または6.9.13-40以降）にアップデートしてください。

中長期的な対策

• システム資産の棚卸し: ImageMagickを使用しているすべてのシステムを特定し、バージョン管理を徹底してください。
• 入力ファイルの検証強化: 信頼できないソースから取得した画像ファイルをImageMagickで処理する際は、厳格な入力検証（サニタイズ）を実装することを検討してください。
• セキュリティパッチ適用計画の見直し: 定期的に利用しているソフトウェアのセキュリティ情報を確認し、迅速なパッチ適用計画を策定・実行してください。

一時的な緩和策

• YUV 4:2:2画像処理の制限: 可能な場合、信頼できないソースからのYUV 4:2:2形式の画像ファイルの処理を一時的に停止または制限することを検討してください。
• サンドボックス環境での処理: 不明な画像ファイルをImageMagickで処理する前に、隔離されたサンドボックス環境で安全性を確認する運用を導入することも有効な場合があります。

確認方法

現在使用しているImageMagickのバージョンは、以下のコマンドで確認できます。

• magick -version
• convert -version

表示されるバージョンが7.1.2-15未満、または6.9.13-40未満である場合、脆弱なバージョンである可能性があります。

参考情報

• CVE-2026-25986の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-25986
• ImageMagick公式サイト（最新版の入手先など）