A biblioteca tem um problema de imagem devido ao histórico de bugs sérios
Uma nova ferramenta permite que os desenvolvedores se protejam melhor contra vulnerabilidades no popular conversor de arquivos ImageMagick, que sofreu várias falhas de segurança no passado.
ImageMagick é usado por sites para converter arquivos e atualmente suporta a conversão de mais de 100 tipos.
Embora tenha se mostrado popular devido ao grande número de conversões que oferece, a ferramenta também esteve sujeita a várias vulnerabilidades de segurança críticas ao longo dos anos.
Leia mais sobre as últimas notícias sobre vulnerabilidades de segurança na web
Em 2016, os pesquisadores lançaram o ImageTragick, uma série de vulnerabilidades na biblioteca – uma das quais poderia levar à execução remota de código (RCE) por meio de uma imagem maliciosa criada.
Dois anos depois, Tavis Ormandy, do Google Project Zero, publicou detalhes de como o suporte a programas externos também pode deixar o ImageMagick vulnerável ao RCE.
Então, em 2020, o pesquisador Alex Inführ encontrou uma vulnerabilidade de injeção de shell no ImageMagick e, em 2021, os pesquisadores do Synacktiv demonstraram como conseguiram fazer o upload arbitrário de arquivos usando falhas conhecidas na biblioteca.
problema de política
Para proteger os usuários contra esses tipos de bugs, o ImageMagick contém uma política de segurança que pode ser personalizada pelos desenvolvedores.
Seu “mecanismo de política muito ajustável” tem opções que ajustam todos os limites e recursos internos específicos que a biblioteca pode tolerar, disse Lorenzo Stella, da Doyensec, autor da ferramenta, ao The Daily Swig.
Stella acrescentou, no entanto, que a política pode causar confusão, pois às vezes contém termos que apenas pessoas familiarizadas com a biblioteca podem reconhecer. “Além disso, nem todas as opções disponíveis estão listadas nesta página, então o código geralmente é a única documentação real”, disse ele.
A nova ferramenta, chamada ImageMagick Security Policy Scanner, permite que os usuários avaliem as políticas de segurança oferecidas para determinar qual é a certa para eles.
GOSTA DO SWIG DIÁRIO? Diga-nos o que você pensa preenchendo nossa pesquisa e tenha a chance de ganhar brindes Burp Suite
Em uma postagem de blog divulgada esta semana (10 de janeiro), Stella escreveu: “Devido ao número de opções disponíveis e à necessidade de negar explicitamente todas as configurações inseguras, essa geralmente é uma tarefa manual, que pode não identificar desvios sutis que prejudicam a força de uma política.
“Também é fácil definir políticas que parecem funcionar, mas não oferecem nenhum benefício real de segurança.
“As verificações da ferramenta são baseadas em nossa pesquisa destinada a ajudar os desenvolvedores a fortalecer suas políticas e melhorar a segurança de seus aplicativos, para garantir que as políticas forneçam um benefício de segurança significativo e não possam ser subvertidas por invasores.”
Semelhanças do Avaliador CSP
O pesquisador disse que a ferramenta é semelhante ao avaliador CSP do Google, pois pode identificar imediatamente quaisquer falhas de segurança em uma política e foi projetada para ser usada por auditores e desenvolvedores.
Stella também adicionou um guia que descreve como os desenvolvedores podem fortalecê-lo ainda mais em seus ambientes, identificar comandos diferentes, verificar se a política é aplicada e muito mais.
Ele acrescentou: “É importante lembrar que a proteção de uma instalação do ImageMagick não termina com a definição de uma política segura, mas deve ser combinada com várias outras práticas de defesa em profundidade.
“Pelo que sei, esta é a primeira ferramenta desse tipo para o ImageMagick”, disse Stella, que observou que a equipe de segurança do ImageMagick adicionou uma referência à ferramenta em sua página de segurança.
RECOMENDADO Threema contesta a divulgação de falhas de criptografia, solicita uma falha de segurança
Fonte
