[紧急预警]图片噩梦，沦陷全球无数服务

这个漏洞被命名为 ImageTragick。

知道创宇安全研究团队已经证明，一堆大服务受到这个漏洞影响，点名根本点不过来。不废话，直接看！

---

[紧急预警]

关于 ImageTragick 漏洞（官网）：
https://imagetragick.com/

官网上已经给出了好几种测试姿势，比如：

图片发自App

mageTragick 相关漏洞挖掘测试和漏洞影响自查，请参考：
http://www.imagemagick.org/script/api.php
可以看到数目繁多，用了如下组件的都可能受此漏洞影响：

图片发自App

Seebug在不断跟进这个漏洞的生命线，相关 Tag：
https://www.seebug.org/appdir/ImageMagick

防御可以使用 policy.xml 规则或者升级（不过注意目前很多源是没有修复的）必要可以停用 ImageMagick 扩展。

PS：注意 ImageTragick 和 ImageMagick 的区别;-)

这个漏洞对得起专门弄个漏洞官网，这个漏洞其实媒体也应该重视，除了 BAT 各种躺枪，许多知名建站组件、相关设备也出现了问题。为什么呢？因为在最常见的图片处理过程（比如上传）使用了本次的漏洞主角 ImageMagick。用途之广泛令人发指，虽然利用上对于新手来说倒不是那么容易，但对于黑阔来说：

这都不是事！

作者：余弦
链接：https://zhuanlan.zhihu.com/p/20851881