CVE-2026-33900ImageMagick在7.1.2-19和6.9.13-44之前的版本中存在安全漏洞。viff编码器在32位构建时存在整数截断或回绕问题,可能触发堆越界写入。攻击者可通过诱导目标处理恶意图像文件来利用此漏洞,导致应用程序崩溃或拒绝服务,从而影响系统可用性。该问题已在指定版本中修复。
该漏洞位于ImageMagick的viff编码器组件中,主要影响32位系统架构的构建版本。漏洞的根本原因是程序在处理特定图像属性(如行数或列数)时,未对整数运算结果进行有效校验,导致发生整数截断或回绕现象。这种逻辑错误会使得后续的堆内存分配大小计算产生偏差,实际分配的缓冲区远小于所需的大小。当程序随后尝试向该缓冲区写入图像数据时,由于缺乏足够的边界检查,数据将溢出缓冲区,引发堆越界写入。攻击者可以精心构造恶意的VIFF格式图像文件,诱导受害者使用存在漏洞的ImageMagick版本对其进行处理,从而触发内存破坏,导致应用程序异常崩溃或拒绝服务。