CVE-2020-25663

Versões do ImageMagick anteriores à 7.0.9-0

Uma chamada à função ConformPixelInfo() na rotina SetImageAlphaChannel() do arquivo /MagickCore/channel.c causava uma leitura (READ) subsequente de uso de memória após liberação (heap-use-after-free) ou estouro de buffer de memória (heap-buffer-overflow) quando as funções GetPixelRed() ou GetPixelBlue() eram chamadas. Isso poderia ocorrer se um invasor conseguisse enviar um arquivo de imagem malicioso para ser processado pelo ImageMagick e poderia levar a uma negação de serviço. Provavelmente não levaria a nada mais, pois a memória é usada como dados de pixels e não, por exemplo, como um ponteiro de função.

Para versões anteriores à 7.0.9-0, atualize para a versão 7.0.9-0 ou posterior para resolver o problema. Como solução temporária, considere restringir o processamento de arquivos de imagem de fontes não confiáveis até que a atualização seja aplicada.