Новости · Безопасность файлов

ImageMagick выпустил 7.1.2-26 и закрыл уязвимости в разборе изображений

ImageMagick — один из самых распространённых движков обработки картинок: он стоит «под капотом» у множества сайтов, онлайн-конвертеров и галерей, которые принимают загружаемые пользователями изображения. В середине июля 2026 года вышло обновление 7.1.2-26, устранившее сразу несколько ошибок в коде, который разбирает форматы картинок. Часть из них позволяла «положить» процесс или испортить память специально искажённым файлом.

16 июля 2026 Редакция LoadFile Чтение 5 мин
Прозрачный щит с растровыми плитками изображения и глитч-фрагментом — обновление безопасности ImageMagick

Коротко: 14–15 июля 2026 разработчики ImageMagick опубликовали набор бюллетеней и версию 7.1.2-26. Закрыты утечка памяти в кодировщике JNG (CVE-2026-61866, по оценке NVD — 7.5, «высокая»), переполнение буфера в декодере JNX на 32-битных сборках, а также ошибки записи за границы буфера в операциях fx и morphology. Все ведут к отказу в обслуживании, часть — к порче памяти. Решение одно — обновиться до 7.1.2-26.

Что произошло

ImageMagick — это бесплатный набор инструментов с открытым кодом для конвертации, редактирования и генерации изображений. Его почти никогда не видно напрямую: чаще всего он работает на сервере как библиотека, через которую сайт делает превью загруженной фотографии, меняет её формат или размер. 14–15 июля 2026 года проект опубликовал в своей базе GitHub Security Advisories несколько бюллетеней и выпустил патч-версию 7.1.2-26, в которой все они исправлены.

Уязвимости относятся к разбору конкретных форматов и внутренним операциям обработки. Общий знаменатель — некорректная работа с памятью: где-то выделенный буфер не освобождается, где-то счётчик размера переполняется и данные пишутся мимо отведённой области. Такой код срабатывает не когда картинку показывают человеку, а когда движок её разбирает, — то есть ещё до того, как изображение вообще будет отрисовано.

В чём суть уязвимостей

Если свести к практике, сценарий у всех ошибок похож: злоумышленник подсовывает специально сформированный файл, а разборщик на нём спотыкается. Итог — либо процесс аварийно завершается или зависает (отказ в обслуживании), либо, в худшем случае на уязвимых сборках, происходит запись за пределы буфера, что потенциально открывает путь к более серьёзным последствиям.

ИдентификаторГде и что
CVE-2026-61866Утечка памяти в кодировщике JNG, когда не удаётся открыть blob; ведёт к исчерпанию ресурсов. По оценке NVD — CVSS 7.5 («высокая», влияет на доступность)
GHSA-h22j-f9xw-xjjmЦелочисленное переполнение в декодере JNX: при обработке очень больших файлов на 32-битных сборках происходит запись за границу кучи
GHSA-422r-8c97-xcg4Запись за границу буфера кучи в операции fx (вычислительные выражения над пикселями)
GHSA-f5m7-cqgw-8hm7Запись за границу буфера кучи в операции morphology при передаче некорректного ядра (kernel)

Обратите внимание: под удар попали и экзотические форматы вроде JNG/JNX (варианты контейнера MNG на базе PNG и JPEG), и «универсальные» операции обработки — fx и morphology, которые применяются к картинкам любых форматов. То есть проблема не в редком расширении файла, а в самих алгоритмах разбора и преобразования. Больше всего рискуют устаревшие 32-битные сборки, где переполнения счётчиков размера критичнее.

!
Почему это важно, даже если вы не разработчик

ImageMagick часто стоит «невидимо» — на стороне сайта, форума, CMS или онлайн-сервиса, куда вы загружаете картинку. Если такой сервис можно вывести из строя одним битым изображением, страдает не только он: под угрозой и другие пользователи, чьи файлы обрабатывает тот же сервер. Обновление движка закрывает эту точку входа.

Что делать

Надёжная мера одна — обновление до исправленной версии. Порядок действий зависит от того, как именно вы соприкасаетесь с ImageMagick:

  1. Если вы администрируете сервер или сайт, где стоит ImageMagick, — обновите пакет до 7.1.2-26 или новее. В дистрибутивах Linux дождитесь обновления из репозитория (Debian, Ubuntu, RHEL и другие выпускают собственные патчи) и накатите его штатным пакетным менеджером.
  2. Проверьте не только консольную утилиту, но и обёртки: PHP-расширение Imagick, привязки для Python, Node.js и другие компоненты, которые используют библиотеку под капотом.
  3. Если ImageMagick встроен в чужой продукт (CMS, хостинг-панель, готовый сервис) — следите за бюллетенями вендора и обновляйтесь, когда патч дойдёт до вашей сборки.
  4. Как обычный пользователь онлайн-конвертеров — не загружайте на сторонние сервисы конфиденциальные изображения и по возможности выбирайте проверенные площадки. О безопасной работе с загрузками мы рассказываем в разделе безопасность файлов.

Что это значит для работы с файлами

История с ImageMagick — ещё одно напоминание: обработка «сложного» изображения сама по себе может быть опасной, даже если файл всего лишь конвертируют, а не открывают вручную. Форматы картинок давно перестали быть просто набором пикселей — внутри метаданные, слои, профили цвета, встроенные потоки. Чем богаче формат, тем больше кода в его разборщике и тем выше шанс наткнуться на ошибку при обработке намеренно «битых» данных. Именно поэтому библиотеки-конвертеры — регулярная мишень исследователей безопасности.

Для практики вывод простой: держите в актуальном состоянии инструменты, через которые проходят чужие файлы, и не считайте картинку заведомо безобидной. Если хотите глубже разобраться в упомянутых форматах, помогут наши разборы: чем открыть SVG и чем открыть WebP. А выбрать безопасный способ поменять формат картинки помогут онлайн-конвертеры файлов.

Источники

Читайте также