şəkillərin işlənməsi və konvertasiyası üçün paketin yeni buraxılışı
, bu, layihə tərəfindən fuzzing testi zamanı aşkar edilmiş 52 potensial zəifliyi aradan qaldırdı .
2018-ci ilin fevral ayından etibarən OSS-Fuzz tərəfindən cəmi 343 problem müəyyən edilib, onlardan 331-i GraphicsMagick tərəfindən artıq həll edilib (qalan 12-də 90 günlük təmir müddəti hələ başa çatmayıb). Ayrı-ayrılıqda
ki, OSS-Fuzz həm də qonşu layihəni sınaqdan keçirmək üçün istifadə olunur , hal-hazırda 100-dən çox həll olunmamış problemi var və bu barədə məlumat düzəliş müddəti bitdikdən sonra artıq ictimaiyyətə açıqdır.
OSS-Fuzz layihəsi tərəfindən müəyyən edilmiş potensial problemlərə əlavə olaraq, GraphicsMagick 1.3.32 həmçinin SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF və XWD. Təhlükəsizliyə aid olmayan təkmilləşdirmələr arasında WebP dəstəyi genişləndirilib və korlar tərəfindən baxmaq üçün Brayl formatında şəkillər çəkmək imkanı diqqəti cəlb edir.
Məlumat sızdırmaq üçün istifadə edilə bilən funksiyanın GraphicsMagick 1.3.32-dən çıxarılması da qeyd olunub. Problem SVG və WMF formatları üçün "@filename" qeydinin işlənməsi ilə bağlıdır ki, bu da təsvirin üzərində göstərməyə və ya göstərilən faylda olan mətni metaməlumata daxil etməyə imkan verir. Potensial olaraq, veb proqramlarında daxiletmə parametrlərinin düzgün yoxlanılması olmadıqda, təcavüzkarlar serverdən giriş düymələri və saxlanılan parollar kimi faylların məzmununu əldə etmək üçün bu funksiyadan istifadə edə bilərlər. Problem ImageMagick-də də özünü göstərir.
Mənbə: opennet.ru