ImageMagick < 7.1.2-10 整数オーバーフローGHSA-6hjr-v6g4-3fm8
high Nessus プラグイン ID 278315
Language:
概要
リモートのWindowsホストに、整数オーバーフローの脆弱性の影響を受けるアプリケーションがインストールされています。説明
リモート Windows ホストには、7.1.2-10 より前の ImageMagick のバージョンがインストールされています。このため、整数オーバーフローの脆弱性の影響を受ける可能性があります。ImageMagick は、ビットマップ画像を作成、編集、構成、または変換するソフトウェアパッケージです。バージョン 7.1.2-9 以前では、TIMPSX TIMイメージパーサーに、ReadTIMImage 関数coders/tim.cに重大な整数オーバーフローの脆弱性があります。コードはファイルヘッダーから幅と高さ (16 ビット値) を読み込み、オーバーフローをチェックせずに image_size = 2 * 幅 * 高 を計算します。32ビットシステムでは、size_t が 32 ビットである場合、幅と高さが大きい場合 (例: 65535)、この計算がオーバーフローし、小さな値に戻ってしまう可能性があります。これにより、AcquireQuantumMemoryを介したヒープの割り当てが少なく、寸法に依存する以降の操作によって領域外読み取りがトリガーされる可能性があります。
この問題はバージョン 7.1.2-10 で修正されています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
ImageMagick をバージョン7.1.2-10以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 278315
ファイル名: imagemagick_7_1_2_10.nasl
バージョン: 1.2
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2025/12/11
更新日: 2025/12/12
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2025-66628
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
脆弱性情報
CPE: cpe:/a:imagemagick:imagemagick
必要な KB アイテム: installed_sw/ImageMagick
パッチ公開日: 2025/12/7
脆弱性公開日: 2025/12/10
参照情報
CVE: CVE-2025-66628
IAVB: 2025-B-0205