В ImageMagick и GraphicMagick обнаружена ещё одна уязвимость (CVE-2016-5118), приводящая к выполнению произвольных shell-команд при обработке файлов со специальными именами. Уязвимость заключается в отсутствии проверки имени файлов на наличие недопустимых символов:

% rm -f hello.txt
% convert '|echo Hello > hello.txt;' null:
% ls hello.txt
hello.txt

Как и в случае с предыдущей уязвимостью, возможна атака с помощью специально сформированных SVG-файлов (которые позволяют указывать внутри себя ссылки на другие файлы):

xlink:href="|echo Hello > hello.txt; cat /usr/lib/firefox/browser/icons/mozicon128.png">

>>> Подробности

В ImageMagick устранена уязвимость (CVE-2016-3714), позволяющая организовать выполнение произвольного кода при обработке специально сформированного изображения. По доброй традиции уязвимость обзавелась собственным именем и сайтом.

Уязвимость заключается в том, что имена файлов не проверяются при вызове внешних обработчиков.

Проблему усугубляют два обстоятельства. Во-первых, уязвимость работает и при косвенном обращении (например, с помощью SVG-файла, в котором содержится тег ‹image xlink:href="https://example.com/image.jpg"|ls "-la"›), при этом будет выполнена команда ls). Во-вторых, ImageMagick проверяет тип файла не по расширению, а по содержимому заголовка, поэтому защититься от атаки, просто заблокировав обработку файлов с определёнными расширениями, не получится.

По некоторым данным, об уязвимости было известно посторонним лицам ещё до её официального обнародования. Подготовлен рабочий эксплоит.

ImageMagick часто применяется на серверах для создания превьюшек к изображениям.

>>> Подробности

ImageMagick — свободный (лицензия Apache 2.0) кроссплатформенный пакет программ для пакетной обработки изображений. Проще говоря, ImageMagick особо полезно использовать при обработке множества изображений общими методами. Пакет поддерживает большинство графических форматов, также его можно использовать совместно с языками программирования, например, для написания скриптов обработки изображений, что очень полезно.
В статье описана лишь малая часть возможностей ImageMagick, т.к. мы хотим лишь познакомить читателя с этим пакетом и дать базовые навыки работы, которые часто нужны в повседневной жизни.

>>> Познакомиться с ImageMagick...

24 мая 2011 года отметился очередной «круглой» версией 6.7.0-0 проект ImageMagick - популярный набор консольных утилит и фронтендов к ним для создания, редактирования, конвертирования и ряда других операций с растровыми изображениями более чем сотни форматов.

ImageMagick распространяется на условиях Apache 2.0 license как в исходных кодах, так и в бинарных сборках, в том числе для Unix, Mac OS X, iPhone и Windows.

В состав ImageMagick входит 11 утилит:

• animate - для анимации ряда изображений на любом X сервере
• compare - для математического вычисления и визульного отображения различий между изображениями
• composite - для накладывания одного изображения на другое
• conjure - для интерпретирования и выполнения скриптов, написанных на языке Magick Scripting Language (MSL)
• convert - для конвертирования изображений в другие форматы и выполнения различных преобразований, таких как изменение размера, обрезание, соединение, размытие и многих других, с сохранением в новый файл
• display - для отображения изображений на любом X сервере
• identify - для получения различных характеристик изображений
• import - для захвата окна, всего экрана или прямоугольного участка экрана на любом X сервере и сохранения в файл
• mogrify - для выполнения различных преобразований, таких как изменение размера, обрезание, соединение, размытие и многих других, с сохранением изменений в исходный файл
• montage - для объединения нескольких изображений в одно
• stream - для выделения заданного участка изображения в необходимом формате при работе с большими изображениями или для работы с несжатым изображением

Также в архиве с исходными кодами поставляется Magick++ - объектно-ориентированное C++ API к библиотекам ImageMagick, и PerlMagick - объектно-ориентированный интерфейс к ImageMagick для Perl.

С момента выхода предыдущей «круглой» версии 6.6.0-0 23 ноября 2010 года прошло ровно полгода и в списке изменений, с которым можно ознакомится в архиве с исходными кодами, стоит отметить следующее:

• Добавлена поддержка LZMA сжатия
• Исправлено большое количество ошибок в коде PNG энкодера, в частности при обработке прозрачности и палитры
• Добавлена поддержка форматов MacPaint, AAI, многостраничных Postscript и PDF с прозрачностью, YUV (16-bit per pixel ), PSD с одним слоем и одним композитным слоем, Radiance HDR, WebP
• Ликвидированы утечки памяти в display и при работе с PDF и Bitmap PSD RLE
• Добавлены опции -smush, -mode, -duplicate, -statistic, свойство %[opaque], новые методы
• Исправлена проблема при случайном чтении 4GB файлов на 32-битных ОС.
• Оптимизирована билинейная интерполяция
• Исправлены многие ошибки

>>> Перечень зеркал для загрузки

>>> Официальный сайт

Написал года два назад программу, занимающуюся определением контура объекта, но на perl. Т.к. время идет, а заниматься этим все более и более некогда, то переписал оный алгоритм на C как умел (в том числе из-за спора в топике troorl'a). Этот подход к работе с картинками может быть полезен в разных областях жизни от астрономии до биологии. Если кто подхватит идею — было бы неплохо.

>>> Подробности

Мозаичные изображения популярны в современных средствах представления информации благодаря своей визуальной привлекательности и технологической новизне. В данной статье раскрываются методы, необходимые для создания изображений мозаичного типа, содержащих текст и графику. Обсуждаемые в статье методики можно использовать для создания статического и динамического контента.

>>> Подробности