ImageMagick, un outil utilisé par des millions de sites web pour traiter des images, recèle plusieurs vulnérabilités critiques qui pourraient permettre à des attaquants de compromettre des serveurs Web. Pour empirer les choses, il n'y a pas de patch officiel pour le moment et les exploits sont déjà disponibles. Ces vulnérabilités ont été découvertes par Nikolay Ermishkin de l'équipe de sécurité Mail.Ru et ont été signalés aux développeurs ImageMagick qui ont proposé un correctif dans la version 6.9.3-9, publié le 30 avril. Toutefois, le patch est incomplet et les vulnérabilités peuvent encore être exploitées. ImageMagick est un outil en ligne de commande qui peut être utilisé pour créer, éditer et convertir un grand nombre de formats de fichiers images. Sa librairie est la base pour d'autres packages de serveur Web comme l’Imagick de PHP, le Rmagick et Papercli de Ruby et l’Imagemagick de Node.js.
Il existe en outre des indices suggérant que les failles sont connues en dehors du cercle des chercheurs en sécurité et des développeurs d’ImageMagick, ce qui explique pourquoi leur existence a été rendue publique mardi dernier. Ces failles peuvent être exploitées en téléchargeant des images spécialement conçues pour les applications Web qui utilisent ImageMagick. Depuis la divulgation publique mardi, les chercheurs en sécurité ont déjà testé des exploits, cela signifie que les attaquants pourraient aussi augmenter leurs tentatives malveillantes. Les chercheurs en sécurité ont surnommé l'ensemble des défauts ImageTragick et ont créé un site web avec plus d'informations pour les développeurs et les administrateurs de sites web, y compris des conseils, jusqu'à ce qu'un correctif complet soit mis à disposition.