ምስሎችን ለመስራት እና ለመለወጥ ጥቅል አዲስ ልቀት
ይህም በፕሮጀክቱ በፈተና ወቅት የተለዩ 52 ተጋላጭነቶችን አስቀርቷል። .
ከፌብሩዋሪ 2018 ጀምሮ በአጠቃላይ 343 ጉዳዮች በ OSS-Fuzz ተለይተዋል ፣ ከእነዚህም ውስጥ 331 ቀድሞውኑ በ GraphicsMagick ተስተካክለዋል (ለቀሪው 12 ፣ የ90-ቀን ማስተካከያ ጊዜ ገና አላበቃም)። በተናጠል
ያ OSS-Fuzz በአቅራቢያ ያለውን ፕሮጀክት ለመሞከርም ጥቅም ላይ ይውላል , በአሁኑ ጊዜ ከ 100 በላይ ያልተፈቱ ጉዳዮች ያሉት, መረጃው ከማረሚያ ጊዜ በኋላ አስቀድሞ በይፋ ይገኛል.
በOSS-Fuzz ፕሮጀክት ከተለዩት ሊሆኑ ከሚችሉ ጉዳዮች በተጨማሪ፣ GraphicsMagick 1.3.32 በSVG, BMP, DIB, MIFF, MAT, MNG, TGA, ልዩ ቅርጸት ያላቸው ምስሎችን አያያዝ ላይ ወደ ቋት መጨናነቅ ሊያስከትሉ የሚችሉ 14 ድክመቶችን ያስተካክላል።
TIFF፣ WMF እና XWD። ከደህንነት ጋር ያልተያያዙ ማሻሻያዎች መካከል፣ የዌብፒ ድጋፍ የተስፋፋ ሲሆን ዓይነ ስውራን ለማየት ምስሎችን በብሬይል የመቅረጽ ችሎታ ጎልቶ ይታያል።
በተጨማሪም መረጃን ለማፍሰስ ሊያገለግል የሚችል ባህሪ ከግራፊክስMagick 1.3.32 መወገድ ነው። ችግሩ ለSVG እና WMF ቅርጸቶች የ«@filename» ማስታወሻ ሂደትን ይመለከታል፣ ይህም በምስሉ ላይ እንዲያሳዩ ወይም በተጠቀሰው ፋይል ውስጥ ያለውን ጽሑፍ በሜታዳታው ውስጥ እንዲያካትቱ ያስችልዎታል። በድር አፕሊኬሽኖች ውስጥ የግቤት መለኪያዎች ትክክለኛ ማረጋገጫ በሌለበት ጊዜ አጥቂዎች ከአገልጋዩ የፋይሎችን ይዘቶች ለማግኘት ይህንን ተግባር ሊጠቀሙበት ይችላሉ ፣ ለምሳሌ የመዳረሻ ቁልፎች እና የተከማቹ የይለፍ ቃሎች። ችግሩ በImageMagick ውስጥም ይታያል።
ምንጭ: opennet.ru