概要
ImageMagickの特定の旧バージョンに、MSL(Magick Scripting Language)属性の処理に関するスタックバッファオーバーフローの脆弱性(CVE-2026-25968)が発見されました。この脆弱性は、長い値が固定サイズのスタックバッファをオーバーフローさせることでメモリ破損を引き起こす可能性があると報告されています。
影響範囲
- ImageMagickのバージョン7.1.2-15より前
- ImageMagickのバージョン6.9.13-40より前
本脆弱性は、バージョン7.1.2-15および6.9.13-40で修正されています。
想定される影響
- 本脆弱性が悪用された場合、メモリ破損が発生し、サービス拒否(DoS)状態に陥る可能性があります。
- メモリ破損の状況によっては、システムが予期せぬ動作を引き起こす可能性も考えられます。
攻撃成立条件・悪用状況
- 攻撃者は、特別に細工されたMSL属性を含む画像を処理させることで、本脆弱性を悪用する可能性があります。
- 現時点では、本脆弱性の具体的な悪用状況に関する情報は公開されていません。
推奨対策
【最優先】ImageMagickのアップデート
- ImageMagickをバージョン7.1.2-15以降、または6.9.13-40以降に速やかにアップデートしてください。これらのバージョンには、本脆弱性に対する修正が含まれています。
一時的な緩和策
- 現時点では、効果的な一時的な緩和策は報告されていません。可能な限り速やかにアップデートを実施することが推奨されます。
確認方法
- 現在利用しているImageMagickのバージョンを確認し、上記の修正済みバージョンよりも古い場合は脆弱性の影響を受ける可能性があります。
- バージョン確認コマンド例:
convert --versionまたはidentify --version
参考情報
- CVE-2026-25968 詳細: https://cvefeed.io/vuln/detail/CVE-2026-25968