概要
ImageMagickの内部SVGデコーダに、過剰なメモリ割り当てを引き起こす脆弱性(CVE-2026-25985)が報告されました。この脆弱性は、細工されたSVGファイルを処理する際に、ImageMagickが約674GBもの大量のメモリを確保しようとすることで、システムがメモリ不足に陥り、ImageMagickプロセスが異常終了する可能性があります。
この問題は、ImageMagickを画像処理に利用しているシステムにおいて、サービス停止などの影響を及ぼす可能性があります。
影響範囲
影響を受ける製品
- ImageMagick
影響を受けるバージョン
- ImageMagick 7.1.2-15 未満のバージョン
- ImageMagick 6.9.13-40 未満のバージョン
修正済みバージョン
- ImageMagick 7.1.2-15
- ImageMagick 6.9.13-40
想定される影響
攻撃者が細工されたSVGファイルをImageMagickに処理させることに成功した場合、ImageMagickが動作しているシステム上でメモリ枯渇が発生し、ImageMagickのプロセスが異常終了する可能性があります。これにより、ImageMagickを利用しているサービスが停止したり、応答不能になったりする恐れがあります。
特に、ユーザーがアップロードしたSVGファイルをImageMagickで処理するようなWebサービスやアプリケーションでは、サービス拒否(DoS)攻撃に悪用されるリスクが考えられます。
攻撃成立条件・悪用状況
本脆弱性の悪用には、ImageMagickが細工されたSVGファイルを処理する状況が必要です。例えば、ユーザーがSVGファイルをアップロードできるWebアプリケーションや、外部からSVGファイルを受け取って処理するシステムなどが該当します。
現時点では、本脆弱性の具体的な悪用状況に関する詳細な情報は報告されていません。
推奨対策
今すぐできる対策(最優先)
- ImageMagickのアップデート: 影響を受けるバージョンのImageMagickを使用している場合は、速やかに以下のバージョン以降にアップデートしてください。
- ImageMagick 7.1.2-15
- ImageMagick 6.9.13-40
これは本脆弱性に対する最も効果的な対策です。
中長期的な対策
- 入力ファイルの検証強化: 外部から受け取るSVGファイルに対して、厳格な入力検証(サニタイズ)を実施し、不正な構造や悪意のある要素が含まれていないかを確認することを検討してください。
- リソース制限の適用: ImageMagickプロセスに対して、システムレベルでメモリ使用量の上限を設定することを検討してください。これにより、万が一脆弱性が悪用された場合でも、システム全体への影響を限定できる可能性があります。
一時的な緩和策
ImageMagickのアップデートがすぐに実施できない場合、一時的な緩和策として、信頼できないソースからのSVGファイルの処理を制限するか、SVGファイルの処理を一時的に無効にすることを検討してください。ただし、これは根本的な解決策ではないため、可能な限り速やかにアップデートを実施することが重要です。
確認方法
現在使用しているImageMagickのバージョンを確認し、影響を受けるバージョンに該当しないかを確認してください。バージョン情報は、通常、コマンドラインでconvert --versionまたはmagick --versionを実行することで確認できます。