إصدار جديد من حزمة لمعالجة وتحويل الصور
، والتي قضت على 52 نقطة ضعف محتملة تم تحديدها أثناء اختبار التشويش بواسطة المشروع .
تم تحديد ما مجموعه 2018 مشكلة بواسطة OSS-Fuzz منذ فبراير 343 ، تم إصلاح 331 منها بالفعل بواسطة GraphicsMagick (بالنسبة لل 12 مشكلة المتبقية ، لم تنته فترة الإصلاح البالغة 90 يومًا بعد). بشكل منفصل
أن OSS-Fuzz يُستخدم أيضًا لاختبار مشروع مجاور ، والتي لديها حاليًا أكثر من 100 مشكلة لم يتم حلها ، والمعلومات الخاصة بها متاحة بالفعل للجمهور بعد وقت التصحيح.
بالإضافة إلى المشكلات المحتملة التي تم تحديدها بواسطة مشروع OSS-Fuzz ، يعمل برنامج GraphicsMagick 1.3.32 أيضًا على إصلاح 14 نقطة ضعف يمكن أن تؤدي إلى فيض المخزن المؤقت في معالجة الصور المنسقة بشكل خاص في SVG و BMP و DIB و MIFF و MAT و MNG و TGA و
TIFF و WMF و XWD. من بين التحسينات غير المتعلقة بالأمان ، تم توسيع دعم WebP وتبرز القدرة على التقاط الصور بتنسيق برايل لعرضها بواسطة المكفوفين.
ويلاحظ أيضًا إزالة إحدى الميزات التي يمكن استخدامها لتسريب البيانات من GraphicsMagick 1.3.32. تتعلق المشكلة بمعالجة تدوين "filename" لتنسيقات SVG و WMF ، والتي تتيح لك عرض النص الموجود في الملف المحدد فوق الصورة أو تضمين البيانات الوصفية. من المحتمل ، في حالة عدم وجود التحقق المناسب من معلمات الإدخال في تطبيقات الويب ، يمكن للمهاجمين استخدام هذه الوظيفة للحصول على محتويات الملفات من الخادم ، مثل مفاتيح الوصول وكلمات المرور المخزنة. تظهر المشكلة أيضًا في ImageMagick.
المصدر: opennet.ru