nova versione di un pacchettu per u trasfurmazioni di l'imaghjini è a cunversione
, chì elimina 52 vulnerabili potenziali identificati durante a prova di fuzzing da u prugettu .
In totale, da u ferraghju 2018, OSS-Fuzz hà identificatu 343 prublemi, di i quali 331 sò digià stati riparati in GraphicsMagick (per i restanti 12, u periodu di fissazione di 90 ghjorni ùn hè micca scadutu). Separatamente
chì OSS-Fuzz hè ancu utilizatu per verificà un prughjettu cunnessu , in quale più di 100 prublemi attualmente ùn sò micca risolti, infurmazione nantu à quale hè digià dispunibule publicamente dopu chì u tempu di currezzione hè scadutu.
In più di i prublemi potenziali identificati da u prughjettu OSS-Fuzz, GraphicsMagick 1.3.32 affronta ancu 14 vulnerabilità di overflow di buffer durante l'elaborazione di l'imaghjini stilati apposta in SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF è XWD. I megliurenze non-securità includenu supportu allargatu per WebP è a capacità di registrà l'imaghjini in formatu Braille per vede da i cechi.
Hè nutatu ancu a rimuzione da GraphicsMagick 1.3.32 di una funzione chì puderia esse usata per causà una fuga di dati. U prublema cuncerna a gestione di a notazione "@filename" per i formati SVG è WMF, chì permette chì u testu chì hè presente in u schedariu specificatu sia mostratu nantu à l'imaghjini o inclusi in i metadati. Potenzialmente, se l'applicazioni web ùn anu micca validazione propria di i paràmetri di input, l'attaccanti ponu utilizà sta funzione per ottene u cuntenutu di i schedari da u servitore, per esempiu, chjavi di accessu è password salvate. U prublema si prisenta ancu in ImageMagick.
Source: opennet.ru