новы выпуск пакета для апрацоўкі і пераўтварэнні малюнкаў
, у якім ліквідаваны 52 патэнцыйныя ўразлівасці, выяўленыя ў ходзе fuzzing-тэставанні праектам .
Усяго з лютага 2018 года пры дапамозе OSS-Fuzz было выяўлена 343 праблемы, з якіх 331 ужо ліквідаваны ў GraphicsMagick (для астатніх 12 пакуль не скончыўся 90-дзённы тэрмін, які адводзіцца на выпраўленне). Асобна
, што OSS-Fuzz таксама выкарыстоўваецца для праверкі сумежнага праекта , у якім у цяперашні час застаюцца неўстараненымі больш за 100 праблем, інфармацыя аб якіх ужо даступная публічна пасля заканчэння часу на выпраўленне.
Акрамя патэнцыйных праблем, выяўленых праектам OSS-Fuzz, у GraphicsMagick 1.3.32 таксама ўхілена 14 уразлівасцяў, якія могуць прывесці да перапаўнення буфера пры апрацоўцы адмыслова аформленых малюнкаў у фарматах SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF і XWD. З не звязаных з бяспекай паляпшэнняў вылучаецца пашырэнне падтрымкі WebP і магчымасць запісу малюнкаў у фармаце Braille для прагляду невідушчымі.
Таксама адзначаецца выдаленне з GraphicsMagick 1.3.32 магчымасці, якая можа выкарыстоўвацца для арганізацыі ўцечкі даных. Праблема тычыцца апрацоўкі натацыі "@імяфайла" для фарматаў SVG і WMF, якая дазваляе вывесці па-над выявай або ўключыць у склад метададзеных тэкст, які прысутнічае ў паказаным файле. Патэнцыйна пры адсутнасці ў web-прыкладаннях належнай праверкі ўваходных параметраў атакавалыя могуць скарыстацца дадзенай функцыяй для атрымання змесціва файлаў з сервера, напрыклад, ключоў доступу і захаваных пароляў. Праблема таксама праяўляецца ў ImageMagick.
Крыніца: opennet.ru