概要
ImageMagickは、デジタル画像の編集や操作に広く利用されているフリーかつオープンソースのソフトウェアです。この度、ImageMagickの特定のバージョンにおいて、画像処理時に使用されるMSL(Magick Scripting Language)のスタックインデックスが適切に更新されない場合があるという脆弱性(CVE-2026-25988)が報告されました。これにより、画像データが誤ったメモリ領域に保存され、エラー発生時に適切に解放されないことでメモリリークが発生し、結果として画像情報が意図せず残存する可能性があります。
影響範囲
この脆弱性の影響を受けるのは、以下のImageMagickのバージョンです。
- ImageMagick バージョン 7.1.2-15 より前のバージョン
- ImageMagick バージョン 6.9.13-40 より前のバージョン
バージョン 7.1.2-15 および 6.9.13-40 には、この問題に対する修正が適用されています。
想定される影響
本脆弱性が悪用された場合、ImageMagickが処理した画像データの一部がメモリ上に残存し、意図しない情報漏洩につながる可能性があります。特に、機密性の高い情報を含む画像をImageMagickで処理している環境では、その情報が外部に漏洩するリスクが考えられます。直接的なシステム停止や任意のコード実行といった深刻な影響は報告されていませんが、情報セキュリティの観点からは看過できない問題です。
攻撃成立条件・悪用状況
この脆弱性は、ImageMagickがMSL関連の画像処理を行う際に、スタックインデックスの更新に失敗した場合に発生する可能性があります。現時点では、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(優先度:高)
- ImageMagickのアップデート: 脆弱性が修正されたバージョンへの速やかなアップデートを強く推奨します。
- ImageMagick 7系をご利用の場合は、バージョン 7.1.2-15 以降にアップデートしてください。
- ImageMagick 6系をご利用の場合は、バージョン 6.9.13-40 以降にアップデートしてください。
一時的な緩和策
- ImageMagickで機密性の高い画像を処理する際は、その処理環境や運用方法を再評価し、情報漏洩のリスクを最小限に抑えるための追加的なセキュリティ対策(例: 処理後のメモリ領域の確実な消去など)を検討してください。
- 可能であれば、修正バージョンへのアップデートが完了するまで、脆弱性のあるバージョンでのMSL関連機能の使用を一時的に控えることを検討してください。
確認方法
現在使用しているImageMagickのバージョンは、コマンドラインで以下のいずれかのコマンドを実行することで確認できます。
convert --versionidentify --version
出力されるバージョン情報が、影響を受けるバージョンに該当しないか確認してください。
参考情報
- CVEfeed.io: https://cvefeed.io/vuln/detail/CVE-2026-25988