nové vydání balíčku pro zpracování a konverzi obrazu
, který eliminuje 52 potenciálních zranitelností identifikovaných během fuzzing testování projektu .
Celkem od února 2018 OSS-Fuzz identifikoval 343 problémů, z nichž 331 již bylo opraveno v GraphicsMagick (u zbývajících 12 ještě nevypršela 90denní lhůta na opravu). Odděleně
že OSS-Fuzz se také používá ke kontrole souvisejícího projektu , ve kterém aktuálně zůstává nevyřešeno více než 100 problémů, o nichž jsou informace již po uplynutí doby k nápravě veřejně dostupné.
Kromě potenciálních problémů identifikovaných projektem OSS-Fuzz řeší GraphicsMagick 1.3.32 také 14 zranitelností přetečení vyrovnávací paměti při zpracování speciálně stylizovaných obrázků ve formátu SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF a XWD. Mezi vylepšení nesouvisející s bezpečností patří rozšířená podpora pro WebP a možnost zaznamenávat obrázky ve formátu Braillova písma pro prohlížení nevidomým.
Za zmínku stojí také odstranění funkce z GraphicsMagick 1.3.32, která by mohla způsobit únik dat. Problém se týká zacházení se zápisem „@název_souboru“ pro formáty SVG a WMF, který umožňuje, aby byl text, který je přítomen v určeném souboru, zobrazen v horní části obrázku nebo zahrnut do metadat. Potenciálně, pokud webové aplikace nemají správné ověření vstupních parametrů, mohou útočníci tuto funkci použít k získání obsahu souborů ze serveru, například přístupových klíčů a uložených hesel. Problém se objevuje také v ImageMagick.
Zdroj: opennet.ru