novo izdanje paketa za obradu i konvertovanje slika
, čime su eliminisane 52 potencijalne ranjivosti identifikovane tokom fuzing testiranja od strane projekta .
OSS-Fuzz je otkrio ukupno 2018 problema od februara 343. godine, od kojih je 331 već popravljeno od strane GraphicsMagick-a (za preostalih 12, period popravljanja od 90 dana još nije istekao). Odvojeno
da se OSS-Fuzz također koristi za testiranje susjednog projekta , koji trenutno ima više od 100 neriješenih pitanja o kojima su informacije već javno dostupne nakon isteka vremena za ispravku.
Pored potencijalnih problema identifikovanih od strane projekta OSS-Fuzz, GraphicsMagick 1.3.32 takođe popravlja 14 ranjivosti koje mogu dovesti do prekoračenja bafera u rukovanju posebno formatiranim slikama u SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF i XWD. Među poboljšanjima koja nisu vezana za sigurnost, proširena je podrška za WebP i ističe se mogućnost snimanja slika u Brajevom formatu za gledanje slijepim osobama.
Takođe je primećeno uklanjanje iz GraphicsMagick 1.3.32 funkcije koja bi se mogla koristiti za curenje podataka. Problem se odnosi na obradu oznake "@filename" za SVG i WMF formate, koja vam omogućava da prikažete preko slike ili umetnete u metapodatke tekst koji je prisutan u navedenoj datoteci. Potencijalno, u nedostatku odgovarajuće validacije ulaznih parametara u web aplikacijama, napadači mogu koristiti ovu funkciju za dobijanje sadržaja datoteka sa servera, kao što su pristupni ključevi i pohranjene lozinke. Problem se također pojavljuje u ImageMagick-u.
izvor: opennet.ru