Действительно, самым эффективным способом защиты является изоляция программного обеспечения, отвечающего за обработку непроверенных пользовательских данных. Есть хорошая статья, в которой описаны способы защиты ImageMagick:
Отказ от использования IM и переход на прямое использование библиотек libpng, libjpeg-turbo, и giflib;
Ограничение используемых кодеков средствами псевдо-протоколов convert [...other params...] -- jpg:input-file.jpg jpg:output-file.jpg с поддержкой только необходимого набора кодеков JPEG, PNG и GIF.
Изоляция кода с помощью seccomp-bpf или эквивалентного механизма, который надежно ограничивает доступ к системным вызовам.
Все выше сказанное применимо и для GraphicsMagick.
Действительно, самым эффективным способом защиты является изоляция программного обеспечения, отвечающего за обработку непроверенных пользовательских данных. Есть хорошая статья, в которой описаны способы защиты ImageMagick:
convert [...other params...] -- jpg:input-file.jpg jpg:output-file.jpgс поддержкой только необходимого набора кодеков JPEG, PNG и GIF.Все выше сказанное применимо и для GraphicsMagick.