تم تحديد ما مجموعه 2018 مشكلة بواسطة OSS-Fuzz منذ فبراير 343 ، تم إصلاح 331 منها بالفعل بواسطة GraphicsMagick (بالنسبة لل 12 مشكلة المتبقية ، لم تنته فترة الإصلاح البالغة 90 يومًا بعد). بشكل منفصل
بالإضافة إلى المشكلات المحتملة التي تم تحديدها بواسطة مشروع OSS-Fuzz ، يعمل برنامج GraphicsMagick 1.3.32 أيضًا على إصلاح 14 نقطة ضعف يمكن أن تؤدي إلى فيض المخزن المؤقت في معالجة الصور المنسقة بشكل خاص في SVG و BMP و DIB و MIFF و MAT و MNG و TGA و
TIFF و WMF و XWD. من بين التحسينات غير المتعلقة بالأمان ، تم توسيع دعم WebP وتبرز القدرة على التقاط الصور بتنسيق برايل لعرضها بواسطة المكفوفين.
ويلاحظ أيضًا إزالة إحدى الميزات التي يمكن استخدامها لتسريب البيانات من GraphicsMagick 1.3.32. تتعلق المشكلة بمعالجة تدوين "filename" لتنسيقات SVG و WMF ، والتي تتيح لك عرض النص الموجود في الملف المحدد فوق الصورة أو تضمين البيانات الوصفية. من المحتمل ، في حالة عدم وجود التحقق المناسب من معلمات الإدخال في تطبيقات الويب ، يمكن للمهاجمين استخدام هذه الوظيفة للحصول على محتويات الملفات من الخادم ، مثل مفاتيح الوصول وكلمات المرور المخزنة. تظهر المشكلة أيضًا في ImageMagick.
المصدر: opennet.ru