nuwe vrystelling van 'n pakket vir die verwerking en omskakeling van beelde
, wat 52 potensiële kwesbaarhede uitgeskakel het wat tydens fuzzing-toetsing deur die projek geïdentifiseer is .
Altesaam 2018 kwessies is sedert Februarie 343 deur OSS-Fuzz geïdentifiseer, waarvan 331 reeds deur GraphicsMagick reggestel is (vir die oorblywende 12 het die 90-dae regstellingstydperk nog nie verstryk nie). Afsonderlik
dat OSS-Fuzz ook gebruik word om 'n aangrensende projek te toets , wat tans meer as 100 onopgeloste kwessies het, waaroor inligting reeds publiek beskikbaar is nadat die regstellingstyd verstryk het.
Benewens potensiële kwessies wat deur die OSS-Fuzz-projek geïdentifiseer is, stel GraphicsMagick 1.3.32 ook 14 kwesbaarhede reg wat kan lei tot bufferoorvloei in die hantering van spesiaal geformateerde beelde in SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF en XWD. Onder die nie-sekuriteitsverwante verbeterings word WebP-ondersteuning uitgebrei en die vermoë om beelde in Braille-formaat vas te vang vir besigtiging deur blindes staan uit.
Ook opgemerk is die verwydering van GraphicsMagick 1.3.32 van 'n kenmerk wat gebruik kan word om data te lek. Die probleem gaan oor die verwerking van die "@lêernaam"-notasie vir SVG- en WMF-formate, wat jou toelaat om die teks wat in die gespesifiseerde lêer voorkom, oor die prent te vertoon of in die metadata in te sluit. In die afwesigheid van behoorlike validering van invoerparameters in webtoepassings, kan aanvallers moontlik hierdie funksie gebruik om die inhoud van lêers vanaf die bediener te verkry, soos toegangsleutels en gestoorde wagwoorde. Die probleem verskyn ook in ImageMagick.
Bron: opennet.ru