ny udgivelse af en pakke til billedbehandling og konvertering
, som eliminerer 52 potentielle sårbarheder identificeret under fuzzing-test af projektet .
I alt, siden februar 2018, har OSS-Fuzz identificeret 343 problemer, hvoraf 331 allerede er blevet rettet i GraphicsMagick (for de resterende 12 er 90-dages rettelsesperioden endnu ikke udløbet). Separat
at OSS-Fuzz også bruges til at tjekke et relateret projekt , hvor mere end 100 problemer i øjeblikket er uløste, hvorom oplysninger allerede er offentligt tilgængelige efter udløbet af fristen for rettelse.
Ud over potentielle problemer identificeret af OSS-Fuzz-projektet, adresserer GraphicsMagick 1.3.32 også 14 bufferoverløbssårbarheder, når der behandles specielt stylede billeder i SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF og XWD. Ikke-sikkerhedsforbedringer omfatter udvidet understøttelse af WebP og muligheden for at optage billeder i Braille-format til visning af blinde.
Også bemærket er fjernelsen fra GraphicsMagick 1.3.32 af en funktion, der kunne bruges til at forårsage et datalæk. Problemet vedrører håndteringen af "@filename"-notationen for SVG- og WMF-formater, som tillader tekst, der er til stede i den angivne fil, at blive vist oven på billedet eller inkluderet i metadataene. Potentielt, hvis webapplikationer ikke har korrekt validering af inputparametre, kan angribere bruge denne funktion til at hente indholdet af filer fra serveren, for eksempel adgangsnøgler og gemte adgangskoder. Problemet dukker også op i ImageMagick.
Kilde: opennet.ru