rhyddhau pecyn newydd ar gyfer prosesu a throsi delweddau
, sy'n dileu 52 o wendidau posibl a nodwyd yn ystod profion niwlog gan y prosiect .
Yn gyfan gwbl, ers mis Chwefror 2018, mae OSS-Fuzz wedi nodi 343 o broblemau, y mae 331 ohonynt eisoes wedi'u gosod yn GraphicsMagick (ar gyfer y 12 sy'n weddill, nid yw'r cyfnod trwsio 90 diwrnod wedi dod i ben eto). Ar wahân
bod OSS-Fuzz hefyd yn cael ei ddefnyddio i wirio prosiect cysylltiedig , lle mae mwy na 100 o broblemau heb eu datrys ar hyn o bryd, y mae gwybodaeth amdanynt eisoes ar gael i'r cyhoedd ar ôl i'r amser cywiro ddod i ben.
Yn ogystal â materion posibl a nodwyd gan brosiect OSS-Fuzz, mae GraphicsMagick 1.3.32 hefyd yn mynd i'r afael â gwendidau gorlif byffer 14 wrth brosesu delweddau wedi'u steilio'n arbennig yn SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF a XWD. Mae gwelliannau nad ydynt yn ymwneud â diogelwch yn cynnwys cefnogaeth ehangach i WebP a'r gallu i recordio delweddau mewn fformat Braille i'r deillion eu gweld.
Nodwyd hefyd bod nodwedd y gellid ei defnyddio i achosi gollyngiad data wedi'i dynnu o GraphicsMagick 1.3.32. Mae'r mater yn ymwneud â thrin y nodiant “@filename” ar gyfer fformatau SVG a WMF, sy'n caniatáu i destun sy'n bresennol yn y ffeil benodol gael ei arddangos ar ben y ddelwedd neu ei gynnwys yn y metadata. O bosibl, os nad oes gan gymwysiadau gwe ddilysiad cywir o baramedrau mewnbwn, gall ymosodwyr ddefnyddio'r nodwedd hon i gael cynnwys ffeiliau o'r gweinydd, er enghraifft, allweddi mynediad a chyfrineiriau wedi'u cadw. Mae'r broblem hefyd yn ymddangos yn ImageMagick.
Ffynhonnell: opennet.ru