CVE/ImageMagick の変更点

追加された行はこの色です。
削除された行はこの色です。
CVE/ImageMagick へ行く。
CVE/ImageMagick の差分を削除
#author("2025-10-28T12:25:00+00:00","default:yoya","yoya")
#author("2025-12-06T02:20:01+00:00","default:yoya","yoya")
- https://www.cvedetails.com/vendor/1749/Imagemagick.html

#contents

* 2025年 [#y2025]

- [[CVE-2025-65955]] (取り消し) Magick++ API にて Options::fontFamily に "" を渡すと double free の脆弱性。
- [[CVE-2025-62594]] CLAHE で Div0 DoS
- [[CVE-2025-62171]] BMP - CVE-2025-57803 の続き
- [[CVE-2025-57807]] SeekBlob の 64bit 版不具合
- [[CVE-2025-57803]] 32bitマシンのBMP生成の stride がオーバーフロー
- [[CVE-2025-55298]]  mogrify %o%n で heap buffer overflow
- [[CVE-2025-55212]]  montage -geometry ":"  ...  で 0div クラッシュする ( 6.9.13-28 and 7.1.2-2 で修正)
- [[CVE-2025-55160]] Undefined Behavior (function-type-mismatch) in CloneSplayTree (7.1.2-1. で修正)
- [[CVE-2025-55154]]  integer overflows in MNG magnification (7.1.2-1. で修正)
- [[CVE-2025-55005]] transform from Log to sRGB (7.1.2-1 で修正)
- [[CVE-2025-55004]]  heap-buffer overflow read in MNG magnification with alpha (7.1.2-1 で修正)
- [[CVE-2025-53101]] mogrify の %d 記法が複数でオーバーフロー。(7.1.2-0/6.9.13-26 で修正)
- [[CVE-2025-53019]] stream の %d% 記法が複数でメモリリーク (7.1.2-0/6.9.13-26 で修正)
- [[CVE-2025-53015]] XMP で無限ループ。 (7.1.2-0で修正)
- [[CVE-2025-53014]] mogirify の %d%d 記法でオーバーフロー (7.1.2-0/6.9.13-26 で修正)
- [[CVE-2025-46393]] multispectral MIFF packet_size を meta channel 分拡げ忘れ
- [[CVE-2025-43965]] MIFF  image depth に関わらずデフォルト値分の buffer しか用意しない

* 2024年 [#y2024]

- [[CVE-2024-41817]]  AppImage 版の環境変数読み込みパス不具合

* 2023年 [#y2023]

- [[CVE-2023-39978]]   Magick::Draw. DoS 脆弱性
- [[CVE-2023-34475]]  ReplaceXmpValue
- [[CVE-2023-34474]]  ReadTIM2ImageData
- [[CVE-2023-34153]] - video:sync, video:pixel-format でシェルインジェクション
- [[CVE-2023-34152]] - パイプコマンドインジェクション (多分間違い、仕様の範囲)
- [[CVE-2023-34151]] - 巨大な width 指定のベクター画像で DoS アタック
- [[CVE-2023-5341]] - BMP でフリーした領域の
- [[CVE-2023-3745]] - TIFF photometric YCbCr でヒープオーバーフロー
- [[CVE-2023-3428]] - Tiled TIFF の読み込みでバッファオーバーフロー
- [[CVE-2023-3195]]  - Tiled BigTIFF の読み込み不具合？ (長い事詳細不明だった)
- [[CVE-2023-2157]] - HEIC/JXL/TIFF 読み取りヒープオーバーフロー
- [[CVE-2023-1906]]  - TIFFマルチスペクトル画像読み込み、クラッシュ脆弱性
- [[CVE-2023-1289]] - 2023-03-23 - SVG load でセグフォ

* 2022年 [#y2022]

- [[CVE-2022-32545]] - PSD ファイルの読み込み不具合 (unsigned char のミス)
- [[CVE-2022-44268]] - PNGプロファイル情報読み取り、情報漏洩脆弱性
- [[CVE-2022-44267]] - PNGプロファイル情報読み取り、DoS脆弱性
- [[CVE-2022-1115]] -  TIFF image で DoS脆弱性

* 2021年 [#y2021]

- [[CVE-2021-20176]] - PoissonNoise で　div0 DoS脆弱性
- [[CVE-2021-3610]] - TIFF読み取り、segfault。

* 2018年 [#y2018]

- [[CVE-2018-16323]] ([[XBadManners]]) - XBM(C言語配列形式) ファイル攻撃

* 2017年 [#y2017]

- [[CVE-2017–15277]] ([[gifoeb]]) パレット情報のない GIF を渡して未初期化メモリを得られる
- [[CVE-2017-9098]] ([[Yahoobleed]]) RLE で未初期化メモリの内容を得られる

* 2016年 [#y2016]

- [[CVE-2016-3714]] ([[ImageTragick]]) ベクター画像のコマンドインジェクションで RCE

* 2014年 [#y2014]

- [[CVE-2014-9829]] (Sun ファイル DoS)

* 参考 [#p476c620]

- https://github.com/ImageMagick/ImageMagick/security/advisories/
- https://security-tracker.debian.org/tracker/source-package/imagemagick

- Google の AI を活用する Big Sleep：ImageMagick の４件の脆弱性を発見／特定
--  https://iototsecnews.jp/2025/08/15/imagemagick-vulnerabilities-cause-memory-corruption-and-integer-overflows/
YoyaWiki

最新の20件

<< 2025.12 >>
日	月	火	水	木	金	土
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31