概要
ImageMagickは、デジタル画像の編集や操作に広く利用されているオープンソースソフトウェアです。この度、ImageMagickのDCM(DICOM)デコーダーにおいて、ヒープ領域外読み取りの脆弱性(CVE-2026-25982)が報告されました。特定の形式のDICOMファイルを処理する際に、デコーダーが割り当てられたバッファの範囲を超えてデータを読み取ってしまう可能性があります。
影響範囲
この脆弱性は、ImageMagickの以下のバージョンに影響します。
- バージョン 7.1.2-15 より前のバージョン
- バージョン 6.9.13-40 より前のバージョン
修正済みのバージョンは、7.1.2-15 および 6.9.13-40 以降とされています。
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- サービス拒否(DoS): プログラムがクラッシュし、ImageMagickの機能が利用できなくなる可能性があります。
- 情報漏洩: ヒープメモリの内容が画像データに混入し、機密情報が漏洩する可能性があります。
攻撃成立条件・悪用状況
この脆弱性は、特別に細工されたDICOMファイルをImageMagickで処理することで悪用される可能性があります。現在のところ、この脆弱性の積極的な悪用状況については、提供された情報からは確認できません。
推奨対策
優先度:高(今すぐ実施を推奨)
- ImageMagickのアップデート: 脆弱性が修正されたバージョンへの速やかなアップデートを強く推奨します。
- ImageMagick 7.x系をご利用の場合は、バージョン 7.1.2-15 以降にアップデートしてください。
- ImageMagick 6.x系をご利用の場合は、バージョン 6.9.13-40 以降にアップデートしてください。
一時的な緩和策
直ちにアップデートが困難な場合は、信頼できないソースからのDICOMファイルの処理を制限することを検討してください。これにより、攻撃のリスクを一時的に軽減できる可能性があります。
確認方法
現在使用しているImageMagickのバージョンを確認し、影響を受けるバージョンに該当するかどうかを確認してください。バージョン情報は通常、convert --version または magick --version コマンドで確認できます。
参考情報
- CVE-2026-25982 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-25982