/ OSS / Yahoo schmeisst ImageMagick nach Sicherheitslücke aus eigenem Webmail-Code

Yahoo schmeisst ImageMagick nach Sicherheitslücke aus eigenem Webmail-Code

urn-newsml-dpa-com-20090101-161110-99-132206_large_4_3-c752da5b31fdf1fe.jpeg
Moritz Rosenfeld on May 23, 2017 - 9:29 am in OSS

Durch die Schwachstelle konnten Angreifer Speicherinhalte der Yahoo-Server auslesen und so die E-Mail-Anhänge anderer Nutzer ausspionieren. Yahoo schloss die Lücke innerhalb eines selbstverordneten 90-Tage-Ultimatums.

Eine Sicherheitslücke in der Open-Source-Bildbearbeitungsbibliothek ImageMagick konnte bei Yahoos Webmail-System missbraucht werden, um die Bildanhänge anderer Nutzer auszuspionieren. Die Lücke trat bei der Verarbeitung des obskuren RLE-Bildformates des Utah Raster Toolkit auf. Durch einen Speicherverarbeitungsfehler im ImageMagick-Code konnte ein Angreifer Speicherinhalte des Servers auslesen, auf die er eigentlich keinen Zugriff haben sollte. Yahoo schloss die Lücke, in dem die Firma kurzerhand die ganze ImageMagick-Bibliothek aus dem Code entfernte.

Der Sicherheitsforscher, der den Exploit entdeckte, beschreibt die Lücke im Detail in seinem Blog. Mit Hilfe einer 18-Byte-großen Datei, die er an sich selbst emailte, gelang es ihm, den Yahoo-Server hereinzulegen. Dieser spuckte als Resultat ein JPEG aus, das aus Speicherinhalt bestand, auf den der Forscher eigentlich keinen Zugriff haben dürfte. Daraus konnte er Teile von Bildern extrahieren, die andere Nutzer an ihre E-Mails angehängt hatten.

Lücke geschlossen, Admins sollten patchen

Yahoo hatte die Sicherheitslücke innerhalb eines 90-Tage-Ultimatums geschlossen, welches die Firma sich selbst auferlegt hatte. Außerdem zahlte man 14.000 US-Dollar als Bug-Bounty an den Forscher. Nachdem dieser verkündet hatte, das Geld an eine gemeinnützige Organisation zu spenden, erklärte Yahoo sich bereit, noch mal weitere 14.000 Dollar drauf zu legen.

Auch die ImageMagick-Entwickler haben die Sicherheitslücke sehr schnell geschlossen. Der Patch ging am 9. März in den Quellcode des Projektes ein. Administratoren, die ImageMagick als Teil ihres Webseiten-Stacks einsetzen, sollten sicherstellen, dass sie eine aktuelle Version der Bibliothek einsetzen, die ebenfalls abgesichert ist. (fab)

Read more on: Source

Comments are disabled