概要
ImageMagickは、デジタル画像の編集や操作に広く利用されているオープンソースソフトウェアです。この度、ImageMagickのFTXT画像リーダーにおいて、スタックベースのバッファオーバーフローの脆弱性(CVE-2026-25967)が報告されました。
この脆弱性は、攻撃者が細工されたFTXTファイルをImageMagickに処理させることで、メモリの範囲外書き込みが発生し、結果としてImageMagickアプリケーションがクラッシュする可能性があります。本脆弱性は、バージョン7.1.2-15で修正されています。
影響範囲
本脆弱性の影響を受けるのは、ImageMagickのバージョン7.1.2-15より前のバージョンです。
想定される影響
本脆弱性が悪用された場合、細工されたFTXTファイルをImageMagickが処理することで、サービスが異常終了(クラッシュ)する可能性があります。これにより、ImageMagickを利用している画像処理サービスやシステムにおいて、一時的なサービス停止や可用性の低下が発生する恐れがあります。
現時点では、情報漏洩や任意のコード実行に繋がる可能性については、公開情報からは明確に報告されていません。
攻撃成立条件・悪用状況
攻撃者は、細工されたFTXTファイルをImageMagickに処理させる必要があります。例えば、ユーザーがアップロードした画像ファイルをImageMagickで処理するようなシステムが標的となる可能性があります。
現時点では、この脆弱性が実際に悪用されたという報告は確認されていません。
推奨対策
最優先で実施すべき対策
- ImageMagickを速やかにバージョン7.1.2-15以降にアップデートしてください。アップデートは、公式のリリースノートや提供元からの指示に従って実施してください。
中長期的な対策
- ImageMagickを使用するシステムにおいて、信頼できないソースからのFTXTファイル(または一般的な画像ファイル)の処理を制限する運用を検討してください。
- 定期的に使用しているソフトウェアのセキュリティ情報を確認し、常に最新の状態を保つようにしてください。
一時的な緩和策
直ちにアップデートが困難な場合、信頼できないソースからのFTXTファイルの処理を一時的に停止または制限することを検討してください。ただし、これは根本的な解決策ではないため、可能な限り速やかにアップデートを実施することが強く推奨されます。
確認方法
現在使用しているImageMagickのバージョンは、コマンドラインで convert --version または magick --version を実行することで確認できます。出力されるバージョン情報が7.1.2-15より前である場合、脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-25967 詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-25967