概要
オープンソースの画像処理ソフトウェアであるImageMagickにおいて、ヒープバッファオーバーリードの脆弱性(CVE-2026-25987)が報告されました。この脆弱性は、MAP画像デコーダーが細工されたMAPファイルを処理する際に発生し、結果としてアプリケーションのクラッシュや意図しないメモリ情報の漏洩につながる可能性があります。
本脆弱性は、ImageMagickのバージョン7.1.2-15および6.9.13-40で修正されています。
影響範囲
本脆弱性の影響を受けるのは、以下のImageMagickのバージョンです。
- ImageMagickのバージョン 7.1.2-15 より前のバージョン
- ImageMagickのバージョン 6.9.13-40 より前のバージョン
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- サービス停止(クラッシュ): 細工されたMAPファイルを処理することで、ImageMagickが予期せず終了し、関連するサービスが停止する可能性があります。
- 情報漏洩: 意図しないメモリ領域の読み取りにより、システムメモリ内の機密情報が攻撃者に開示される可能性があります。
攻撃成立条件・悪用状況
この脆弱性は、ImageMagickが細工されたMAPファイルを処理する際に悪用される可能性があります。現時点では、具体的な攻撃の成立条件や悪用状況に関する詳細な情報は公開されていません。
推奨対策
本脆弱性への対策として、以下の対応を速やかに実施することを強く推奨します。
- ImageMagickのバージョンアップ:
- ImageMagick 7.x系をご利用の場合: バージョン 7.1.2-15 以降にアップデートしてください。
- ImageMagick 6.x系をご利用の場合: バージョン 6.9.13-40 以降にアップデートしてください。
最新バージョンへのアップデートにより、本脆弱性を含む既知のセキュリティ問題が修正されます。
一時的な緩和策
直ちにバージョンアップが困難な場合、暫定的な緩和策として、信頼できないソースからのMAPファイルの処理を制限することを検討してください。ただし、これは根本的な解決策ではないため、可能な限り早期のバージョンアップが推奨されます。
確認方法
現在利用しているImageMagickのバージョンは、以下のコマンドで確認できます。
convert --versionまたは
identify --version出力されるバージョン情報が、修正済みバージョン(7.1.2-15または6.9.13-40)以降であることを確認してください。