Форматы
Чем открыть файл SVG
Что за формат векторной графики SVG, чем его открыть и просмотреть в браузере, редакторах и просмотрщиках.
ImageMagick — один из самых распространённых движков обработки картинок: он стоит «под капотом» у множества сайтов, онлайн-конвертеров и галерей, которые принимают загружаемые пользователями изображения. В середине июля 2026 года вышло обновление 7.1.2-26, устранившее сразу несколько ошибок в коде, который разбирает форматы картинок. Часть из них позволяла «положить» процесс или испортить память специально искажённым файлом.

Коротко: 14–15 июля 2026 разработчики ImageMagick опубликовали набор бюллетеней и версию 7.1.2-26. Закрыты утечка памяти в кодировщике JNG (CVE-2026-61866, по оценке NVD — 7.5, «высокая»), переполнение буфера в декодере JNX на 32-битных сборках, а также ошибки записи за границы буфера в операциях fx и morphology. Все ведут к отказу в обслуживании, часть — к порче памяти. Решение одно — обновиться до 7.1.2-26.
ImageMagick — это бесплатный набор инструментов с открытым кодом для конвертации, редактирования и генерации изображений. Его почти никогда не видно напрямую: чаще всего он работает на сервере как библиотека, через которую сайт делает превью загруженной фотографии, меняет её формат или размер. 14–15 июля 2026 года проект опубликовал в своей базе GitHub Security Advisories несколько бюллетеней и выпустил патч-версию 7.1.2-26, в которой все они исправлены.
Уязвимости относятся к разбору конкретных форматов и внутренним операциям обработки. Общий знаменатель — некорректная работа с памятью: где-то выделенный буфер не освобождается, где-то счётчик размера переполняется и данные пишутся мимо отведённой области. Такой код срабатывает не когда картинку показывают человеку, а когда движок её разбирает, — то есть ещё до того, как изображение вообще будет отрисовано.
Если свести к практике, сценарий у всех ошибок похож: злоумышленник подсовывает специально сформированный файл, а разборщик на нём спотыкается. Итог — либо процесс аварийно завершается или зависает (отказ в обслуживании), либо, в худшем случае на уязвимых сборках, происходит запись за пределы буфера, что потенциально открывает путь к более серьёзным последствиям.
| Идентификатор | Где и что |
|---|---|
| CVE-2026-61866 | Утечка памяти в кодировщике JNG, когда не удаётся открыть blob; ведёт к исчерпанию ресурсов. По оценке NVD — CVSS 7.5 («высокая», влияет на доступность) |
| GHSA-h22j-f9xw-xjjm | Целочисленное переполнение в декодере JNX: при обработке очень больших файлов на 32-битных сборках происходит запись за границу кучи |
| GHSA-422r-8c97-xcg4 | Запись за границу буфера кучи в операции fx (вычислительные выражения над пикселями) |
| GHSA-f5m7-cqgw-8hm7 | Запись за границу буфера кучи в операции morphology при передаче некорректного ядра (kernel) |
Обратите внимание: под удар попали и экзотические форматы вроде JNG/JNX (варианты контейнера MNG на базе PNG и JPEG), и «универсальные» операции обработки — fx и morphology, которые применяются к картинкам любых форматов. То есть проблема не в редком расширении файла, а в самих алгоритмах разбора и преобразования. Больше всего рискуют устаревшие 32-битные сборки, где переполнения счётчиков размера критичнее.
ImageMagick часто стоит «невидимо» — на стороне сайта, форума, CMS или онлайн-сервиса, куда вы загружаете картинку. Если такой сервис можно вывести из строя одним битым изображением, страдает не только он: под угрозой и другие пользователи, чьи файлы обрабатывает тот же сервер. Обновление движка закрывает эту точку входа.
Надёжная мера одна — обновление до исправленной версии. Порядок действий зависит от того, как именно вы соприкасаетесь с ImageMagick:
История с ImageMagick — ещё одно напоминание: обработка «сложного» изображения сама по себе может быть опасной, даже если файл всего лишь конвертируют, а не открывают вручную. Форматы картинок давно перестали быть просто набором пикселей — внутри метаданные, слои, профили цвета, встроенные потоки. Чем богаче формат, тем больше кода в его разборщике и тем выше шанс наткнуться на ошибку при обработке намеренно «битых» данных. Именно поэтому библиотеки-конвертеры — регулярная мишень исследователей безопасности.
Для практики вывод простой: держите в актуальном состоянии инструменты, через которые проходят чужие файлы, и не считайте картинку заведомо безобидной. Если хотите глубже разобраться в упомянутых форматах, помогут наши разборы: чем открыть SVG и чем открыть WebP. А выбрать безопасный способ поменять формат картинки помогут онлайн-конвертеры файлов.