Phần mềm thao tác ảnh mã nguồn mở phổ biến ImageMagick đã khắc phục bốn lỗ hổng CVE bảo mật nghiêm trọng. Những lỗ hổng này được phát hiện bởi công cụ nghiên cứu bảo mật dựa trên trí tuệ nhân tạo (AI) của Google, có tên là Big Sleep.

Các lỗ hổng này ảnh hưởng đến hàng triệu ứng dụng trên toàn thế giới phụ thuộc vào ImageMagick để xử lý hình ảnh. Chúng đã được vá trong các bản phát hành phần mềm mới nhất theo giao thức công bố có trách nhiệm.

Big Sleep và Khả Năng Phát Hiện Lỗ Hổng AI

Big Sleep của Google, được phát triển hợp tác bởi các nhóm DeepMind và Project Zero, đại diện cho một bước đột phá trong khả năng phát hiện lỗ hổng tự động. Công cụ AI này đã thành công trong việc xác định và tái tạo cả bốn lỗ hổng ImageMagick mà không cần sự can thiệp của con người. Tuy nhiên, các chuyên gia con người vẫn thực hiện đánh giá cuối cùng trước khi công bố thông tin.

Thành tựu này tiếp nối thành công trước đây của Big Sleep trong việc ngăn chặn khai thác một lỗ hổng SQLite nghiêm trọng. Lỗ hổng đó trước đây chỉ được biết đến bởi các tác nhân đe dọa.

Sự phát triển của Big Sleep thể hiện tiềm năng biến đổi của AI trong an ninh mạng. Công cụ này hiện đang tích cực bảo vệ cả hệ sinh thái của Google và các dự án mã nguồn mở.

Như Royal Hansen, Phó Chủ tịch Kỹ thuật của Google, đã nhận xét, những phát hiện này đại diện cho “một biên giới mới trong việc phát hiện lỗ hổng tự động”. Điều này cho thấy các công cụ bảo mật được hỗ trợ bởi AI sẽ đóng vai trò ngày càng quan trọng trong việc xác định và ngăn chặn các mối đe dọa mạng trước khi chúng có thể bị khai thác trong các cuộc tấn công thực tế.

Chi Tiết Các Lỗ Hổng CVE Nghiêm Trọng

Bốn lỗ hổng được theo dõi bao gồm CVE-2025-55154 (CVSS 8.8), CVE-2025-55004 (CVSS 7.6), CVE-2025-55005 (CVSS 5.5), và CVE-2025-55160 (CVSS 6.1). Các lỗ hổng này đã được nhà nghiên cứu bảo mật urban-warrior công bố thông qua GitHub Security Advisories.

Mỗi lỗ hổng đều mang định danh BIGSLEEP, cho thấy chúng được phát hiện thông qua chương trình nghiên cứu được hỗ trợ bởi AI của Google.

CVE-2025-55154: Tràn Số Nguyên trong Xử Lý MNG (CVSS 8.8)

Đây là lỗ hổng CVE nghiêm trọng nhất. CVE-2025-55154 liên quan đến các lỗi tràn số nguyên (integer overflows) trong các phép tính phóng đại MNG (Multiple-image Network Graphics) bên trong hàm ReadOneMNGImage.

Khi xử lý các tệp MNG được tạo đặc biệt, các phép toán số học không an toàn có thể vượt quá giới hạn số nguyên. Điều này dẫn đến tràn bộ đệm vùng nhớ heap (heap buffer overflows) và khả năng thực thi mã tùy ý (arbitrary code execution) trên hệ thống bị ảnh hưởng.

Lỗ hổng này đặc biệt ảnh hưởng đến việc tính toán giá trị magnified_width. Cả phép nhân và phép cộng đều có thể gây tràn, dẫn đến việc cấp phát bộ đệm nhỏ hơn mức cần thiết, tạo điều kiện cho khai thác mã độc từ xa (remote code execution).

CVE-2025-55004: Đọc Tràn Bộ Đệm Heap trong Phóng Đại Ảnh (CVSS 7.6)

CVE-2025-55004 thể hiện một lỗ hổng đọc tràn bộ đệm vùng nhớ heap (heap-buffer overflow read) trong quá trình phóng đại ảnh khi xử lý hình ảnh có các kênh alpha riêng biệt.

Lỗ hổng này có khả năng làm rò rỉ nội dung bộ nhớ nhạy cảm vào các hình ảnh đầu ra. Điều này tạo ra rủi ro về tính bảo mật thông tin cho các ứng dụng xử lý hình ảnh do người dùng cung cấp.

Lỗ hổng xảy ra khi giá trị alpha_trait được cập nhật giữa quá trình. Điều này tạo ra sự không khớp giữa kích thước bộ đệm được cấp phát và yêu cầu kênh thực tế, dẫn đến nguy cơ rò rỉ dữ liệu.

CVE-2025-55005: Xử Lý Chuyển Đổi Không Gian Màu Log (CVSS 5.5)

Lỗ hổng thứ ba, CVE-2025-55005, ảnh hưởng đến việc xử lý chuyển đổi không gian màu log (log colorspace conversion). Kiểm tra giới hạn không đủ trong quá trình xử lý giá trị reference-black và reference-white có thể kích hoạt tràn bộ đệm vùng nhớ heap (heap-buffer overflows).

CVE-2025-55160: Lỗi undefined behavior trong CloneSplayTree (CVSS 6.1)

CVE-2025-55160 gây ra hành vi không xác định (undefined behavior) trong các hoạt động CloneSplayTree. Điều này dẫn đến các sự cố có thể dự đoán được trong các bản dựng được bật trình kiểm tra (sanitizer-enabled builds), mặc dù nó gây ra rủi ro bảo mật tối thiểu trong các triển khai tiêu chuẩn.

Biện Pháp Khắc Phục và Khuyến Nghị Bản Vá Bảo Mật

Người dùng ImageMagick phải nâng cấp ngay lập tức lên các phiên bản đã được vá để bảo vệ chống lại những lỗ hổng ImageMagick này. Việc cập nhật bản vá bảo mật là bước phòng thủ quan trọng nhất.

• Đối với nhánh 7.x, phiên bản 7.1.2-1 khắc phục tất cả bốn lỗ hổng.
• Người dùng nhánh 6.x cũ hơn nên cập nhật lên phiên bản 6.9.13-27.

Các tổ chức sử dụng ImageMagick trong các ứng dụng web, hệ thống quản lý nội dung (CMS) và quy trình xử lý hình ảnh tự động đối mặt với rủi ro đặc biệt. Những lỗ hổng CVE này có thể bị kích hoạt thông qua các hình ảnh độc hại được truyền qua mạng.

Các chuyên gia bảo mật khuyến nghị triển khai các biện pháp bảo vệ bổ sung ngoài việc vá lỗi. Các biện pháp này bao gồm:

• Xác thực đầu vào nghiêm ngặt cho các tệp hình ảnh.
• Áp dụng các chính sách bảo mật hạn chế kích thước hình ảnh.
• Giám sát các hoạt động xử lý hình ảnh để phát hiện sự bất thường.

Việc phát hiện những lỗ hổng ImageMagick này một lần nữa nhấn mạnh bối cảnh bảo mật phức tạp của phần mềm này. ImageMagick đã từng gặp nhiều vấn đề liên quan đến an toàn bộ nhớ trong lịch sử do hỗ trợ hơn 200 định dạng hình ảnh.

Tham khảo thêm thông tin chi tiết về các lỗ hổng và bản vá tại các nguồn đáng tin cậy:

• GitHub Security Advisory – GHSA-qp29-wxp5-wh82
• GitHub Security Advisory – GHSA-cjc8-g9w8-chfw
• GitHub Security Advisory – GHSA-v393-38qx-v8fp
• GitHub Security Advisory – GHSA-6hgw-6×87-578x