“0day漏洞”是指一些沒有公布補(bǔ)丁的漏洞，或者是還沒有被漏洞發(fā)現(xiàn)者公布出來的漏洞利用工具，作為網(wǎng)絡(luò)安全的巨大威脅，往往會給你的服務(wù)器致命一擊。5月3日，圖像處理軟件ImageMagick就被公布出一個嚴(yán)重的0day漏洞(CVE-2016-3714)，攻擊者通過此漏洞可執(zhí)行任意命令，最終竊取重要信息取得服務(wù)器控制權(quán)。

首先讓我們來了解一下“ImageMagick”這個圖像處理軟件，ImageMagick是一個免費(fèi)的創(chuàng)建、編輯、合成圖片的軟件。它可以讀取、轉(zhuǎn)換、寫入多種格式的圖片。圖片切割、顏色替換、各種效果的應(yīng)用，圖片的旋轉(zhuǎn)、組合，文本，直線，多邊形，橢圓，曲線，附加到圖片伸展旋轉(zhuǎn)。ImageMagick是免費(fèi)軟件：全部源碼開放，可以自由使用，復(fù)制，修改，發(fā)布，它遵守GPL許可協(xié)議，可以運(yùn)行于大多數(shù)的操作系統(tǒng)，ImageMagick的大多數(shù)功能的使用都來源于命令行工具。

由于其強(qiáng)大的功能以及超強(qiáng)的可操作性，是的這款作圖軟件深得廣大辦公人士喜愛，正因?yàn)槿绱耍舜?day漏洞所帶來的影響超乎了人們的想象。諸多網(wǎng)站論壇都深受其害，其中不乏百度、阿里、騰訊、新浪等知名網(wǎng)站，一時間，業(yè)界各大網(wǎng)站及企業(yè)都人人自危，紛紛自查，以免中招。

那么這個漏洞是才去的怎樣一個攻擊方式呢?其實(shí)非常簡單，黑客只需上傳一張“被感染”的圖片就可以對網(wǎng)站程序的 imagick 擴(kuò)展進(jìn)行攻擊，利用漏洞執(zhí)行圖片中內(nèi)置的惡意命令。哪怕是提示圖片上傳失敗，imagick 擴(kuò)展也會因代碼流程而進(jìn)行了處理，所以這種情況下即使圖片沒有真的傳到服務(wù)器上，攻擊也是可以成功的，這也正是它最為可怕的地方。

目前該漏洞還沒有大面積爆發(fā)，但危機(jī)意識還是要有的，必要的自查防范依舊必不可少。既然此漏洞如此強(qiáng)悍，又有什么方式可以擺脫漏洞的危害呢?截至出稿，軟件官方還沒能給出一個強(qiáng)有力的應(yīng)對措施。但還是給出了一些臨時的應(yīng)對措施。

官方給出的臨時解決措施：

通過配置策略文件暫時禁用ImageMagick，可在“/etc/ImageMagick/policy.xml” 文件中添加如下代碼：

聰明的人讀到這里已經(jīng)開始了自查模式，不要亡羊補(bǔ)牢，等到躺槍的時候就什么都晚了，話不多說，小編也要閃人了，畢竟小編是一個未(hao)雨(chi)綢(lan)繆(zuo)的人。

此次漏洞不容小覷，望諸位珍重。