Kikukázza a Yahoo az ImageMagicket

​A Yahoo mérnökcsapata úgy határozott, hogy biztonsági okok miatt végleg felhagy az ImageMagick használatával.
 

Az ImageMagick egy régóta széles körben alkalmazott képkezelő eszközkészlet, amelyet sok fejlesztő előszeretettel vet be elsősorban webes alkalmazások készítése során. Sajnos azonban az ImageMagick sem mentes a biztonsági résektől, amelyek az elmúlt időszakban egyre több fejtörést okoztak a szoftverfejlesztők számára. Köztük olyan neves cégeknek is, mint amilyen a Yahoo.
 
A képkezelő összetevő legnagyobb visszhangot kiváltó sebezhetőségei tavaly az ImageTragick nevet kapták. A kritikus veszélyességű biztonsági hibák kihasználásával, speciálisan összeállított képek révén jogosulatlan távoli kódfuttatásra nyílt lehetőségük a támadóknak. A Yahoo esetében ez azt jelentette, hogy a levelezőrendszere meglehetősen kiszolgáltatottá válhatott volna, ha nem szerez időben tudomást a sebezhetőségekről.
 
A Chris Evans biztonsági kutató által feltárt rendellenességek kihasználására alkalmas kódok nem maradtak sokáig titokban, így a kiberbűnözők jelentős fegyvert kaptak a kezükbe.
 
A Yahoo az ImageMagicket egyebek mellett ahhoz használta, hogy a Yahoo Mailen keresztül fogadott elektronikus levelek képformátumú csatolmányait feldolgozza, és bélyegképeket, előnézeti képeket generáljon. Ebből kifolyólag a támadóknak olyan e-mailekkel nyílhatott volna lehetőségük károkozásokra, amelyek speciálisan összeállított képállományokat is tartalmaztak. Ilyet pedig nem volt nehéz előállítani.
 
A vállalat Evans-nek köszönettel tartozott, amivel a cég is pontosan tisztában volt: 14 ezer dollárral jutalmazta a kutatót. Ugyanakkor az ImageMagick használatát nem függesztette fel, továbbra is alkalmazta azt. Egészen mostanáig, ugyanis a Yahoo fejlesztői úgy határoztak, hogy végleg megválnak a sokat látott komponenstől, és azt más - egyelőre nem részletezett - megoldással váltják le. A döntés mögött nem titkoltan biztonsági megfontolások húzódnak meg.