在安全研究员发现图片处理库ImageMagick存在严重漏洞、可导致服务器内存数据泄漏错误后，雅虎工程师决定把自家网站上的这个库换掉。而由于ImageMagick的高权限，用户收件箱里的邮件图片可能会泄露。

ImageMagick擅长处理Web服务器上的各种图片格式，是全球范围都很流行的Web开发者工具包，国内许多互联网公司也都在用。但它在安全上不太行，曾经出现过许多漏洞，其中最著名的一个叫魔图攻击（ImageTragick），上传图片即可远程命令执行，当时在国内影响极大。

随着时间推移，特别是16年5月的魔图攻击曝光后，很多开发者都开始转换到新的图片处理库，而雅虎还在继续使用。

漏洞可泄漏雅虎服务器上的图片数据

去年冬天，安全研究员Chris Evans在ImageMagick中发现一个新的漏洞（编号CESA-2017-0002），他在安全博客上详细说明了漏洞的技术原理。

根据他的文章简化来讲，Evans制作了一张包含攻击代码的畸形图片，将其作为附件发邮件给自己。

当邮件和附件进入雅虎的邮箱服务器，ImageMagick库会自动处理图片，生成缩略图和预览图。这使得雅虎的ImageMagick库直接执行了攻击代码。

攻击代码的作用是：让ImageMagick库在处理附件图片的时候，生成错误的预览图。预览图将包括当前服务器内存里的图片。

幸运的是，Evans获取的图片是破损的，没有任何可用信息。Evans也没有尝试改进代码来获得更清晰的图片，因为那将侵犯用户隐私，并破坏雅虎的漏洞赏金计划的规则。

14000美元漏洞赏金和慈善捐赠

收到漏洞报告后，雅虎工程师进行内部评估，讨论的最佳修复方案是退出ImageMagick不再使用。

雅虎向Evans发放了14000美元。根据漏洞赏金计划规则，Evans选择将赏金捐赠给慈善机构，雅虎进行了双倍金额捐赠。

在向雅虎报告之前，Evans还向ImageMagick官方报告了漏洞，ImageMagick在两个月前发布的v7.0.5-1已经修复。

发现此次漏洞后，Evans将其命名为“Yahoobleed #1”。最近几个月，他还发现了Linux桌面系统的几处漏洞。