O popular software de manipulação de imagem de código aberto ImageMagick abordou quatro vulnerabilidades críticas de segurança descobertas pela ferramenta de pesquisa de segurança de inteligência artificial do Google, Big Sleep.
Essas falhas, afetando milhões de aplicações em todo o mundo que dependem do ImageMagick para o processamento de imagens, foram corrigidas nos mais recentes lançamentos de software após protocolos de divulgação responsáveis.
Ai avanço na segurança cibernética
O grande sono do Google, desenvolvido Colaborativamente pelas equipes DeepMind e Project Zero, representa um avanço inovador na detecção automatizada de vulnerabilidades.
O agente da IA com sucesso identificado e reproduziu todas as quatro vulnerabilidades do ImageMagick sem intervenção humana, embora especialistas humanos tenham realizado revisões finais antes da divulgação.
Essa conquista segue o sucesso anterior do Big Sleep em impedir a exploração de uma vulnerabilidade crítica de sqlite, conhecida apenas pelos atores de ameaças.
- Quatro vulnerabilidades distintas rastreadas como CVE-2025-55154, CVE-2025-55004, CVE-2025-55005 e CVE-2025-55160.
- As pontuações do CVSS variando de 5,5 a 8,8, com a maior gravidade classificada como “alta”.
- Sistema de identificador BigSleep usado para rastrear todas as vulnerabilidades descobertas da IA.
- Publicado pelo pesquisador de segurança urbano-guerreira através dos avisos de segurança do GitHub.
- Processo de divulgação responsável seguido com patches liberados antes da divulgação pública.
As vulnerabilidades, rastreadas como CVE-2025-55154 (CVSS 8.8), CVE-2025-55004 (CVSS 7.6), CVE-2025-55005 (CVSS 5.5) e CVE-2015-55160 (CVSS 6.1), foram publicados por segurança, foram publicados por Securtion por Securtion por Securtion, foi publicado por Securtion por Securtion por Securtion, e foram publicados por Securtion por Securtion, e foram publicados por Securtion por Securtion e Securtion por Securtion, e CVEs por CVSS.5, e CVSS.5) e CVEs por CVEs por CVEs por Securtion.
Cada vulnerabilidade carrega o identificador Bigsleep, indicando sua descoberta através do Google’s Pesquisa movida a IA programa.
Impacto técnico e riscos
A vulnerabilidade mais grave, CVE-2025-55154, envolve cálculos inteiros em cálculos de ampliação de MNG (gráficos de rede de múltiplas imagens) na função ReadOnengimage.
Ao processar arquivos MNG especialmente criados, operações aritméticas inseguras podem exceder os limites inteiros, levando a transbordamentos de buffer de heap e potencial execução de código arbitrário.
A falha afeta especificamente o cálculo dos valores de largura ampliada, onde as operações de multiplicação e adição podem transbordar, resultando em alocações de buffer menor do que e exigidas.
O CVE-2025-55004 apresenta uma vulnerabilidade de leitura de leite de buffer de heap-buffer durante a ampliação da imagem ao manusear imagens com canais alfa separados.
Essa falha pode potencialmente vazar o conteúdo da memória sensível às imagens de saída, criando riscos de confidencialidade para aplicativos que processam imagens fornecidas pelo usuário.
A vulnerabilidade ocorre quando o alpha_trait é atualizado no meio do processo, criando uma incompatibilidade entre tamanhos de buffer alocados e requisitos reais de canal.
A terceira vulnerabilidade, CVE-2025-55005, afeta o manuseio de conversão de cores do log, onde os limites insuficientes verificar durante o processamento de referência em preto e referência-brancos podem desencadear transbordamentos.
Enquanto isso, o CVE-2025-55160 causa comportamento indefinido nas operações do ClonesPlaytree, resultando em acidentes determinísticos em compilações habilitadas para desinfetantes, embora represente um risco mínimo de segurança em implantações padrão.
Os usuários da ImageMagick devem imediatamente atualizar às versões corrigidas para proteger contra essas vulnerabilidades.
Para a filial 7.x, a versão 7.1.2-1 aborda todas as quatro falhas, enquanto os usuários do Legacy 6.x devem ser atualizados para a versão 6.9.13-27.
As organizações que usam o ImageMagick em aplicativos da Web, sistemas de gerenciamento de conteúdo e fluxos de trabalho de processamento de imagens automatizados enfrentam riscos específicos, pois essas vulnerabilidades podem ser acionadas por imagens maliciosas transmitidas pela rede.
Especialistas em segurança recomendar Implementando medidas de proteção adicionais além do patch, incluindo validação estrita de entrada para arquivos de imagem, aplicando políticas de segurança restritivas que limitam as dimensões da imagem e monitorando as operações de processamento de imagem para anomalias.
A descoberta dessas vulnerabilidades destaca o complexo cenário de segurança da ImageMagick, com o software historicamente experimentando vários problemas de segurança de memória devido ao seu suporte para mais de 200 formatos de imagem.
Esse avanço demonstra o potencial transformador da IA na segurança cibernética, com um grande sono agora garantindo ativamente os projetos do ecossistema e de fonte aberta do Google.
Como observou Royal Hansen, vice-presidente de engenharia do Google, essas descobertas representam “uma nova fronteira na descoberta de vulnerabilidade automatizada”, sugerindo que a IA movida Ferramentas de segurança desempenhará um papel cada vez mais crucial na identificação e prevenção de ameaças cibernéticas antes que elas possam ser exploradas em ataques do mundo real.
AWS Security Services:10-Point Executive Checklist -Download for Free