ny udgivelse af en pakke til billedbehandling og konvertering
, som eliminerer 52 potentielle sårbarheder identificeret under fuzzing-test af projektet .
I alt, siden februar 2018, har OSS-Fuzz identificeret 343 problemer, hvoraf 331 allerede er blevet rettet i GraphicsMagick (for de resterende 12 er 90-dages rettelsesperioden endnu ikke udløbet). Separat
at OSS-Fuzz også bruges til at tjekke et relateret projekt , hvor mere end 100 problemer i øjeblikket er uløste, hvorom oplysninger allerede er offentligt tilgængelige efter udløbet af fristen for rettelse.
Ud over potentielle problemer identificeret af OSS-Fuzz-projektet, adresserer GraphicsMagick 1.3.32 også 14 bufferoverløbssårbarheder, når der behandles specielt stylede billeder i SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF og XWD. Ikke-sikkerhedsrelaterede forbedringer inkluderer udvidet WebP-understøttelse og muligheden for at skrive billeder i brailleformat til visning af blinde.
Det bemærkes også, at en funktion fra GraphicsMagick 1.3.32, der kan bruges til at organisere en datalækage, er blevet fjernet. Problemet vedrører håndteringen af "@filnavn"-notationen for SVG- og WMF-formaterne, som tillader, at tekst i den angivne fil vises oven på et billede eller inkluderes i metadataene. Hvis webapplikationer ikke korrekt kontrollerer inputparametre, kan angribere potentielt bruge denne funktion til at få fat i indholdet af filer fra serveren, f.eks. adgangskoder og gemte adgangskoder. Problemet optræder også i ImageMagick.
Kilde: opennet.ru
