Seit Februar 2018 wurden von OSS-Fuzz insgesamt 343 Probleme identifiziert, von denen 331 bereits von GraphicsMagick behoben wurden (für die restlichen 12 ist die 90-tägige Behebungsfrist noch nicht abgelaufen). Separat
Zusätzlich zu den vom OSS-Fuzz-Projekt identifizierten potenziellen Problemen behebt GraphicsMagick 1.3.32 auch 14 Schwachstellen, die zu Pufferüberläufen bei der Verarbeitung speziell formatierter Bilder in SVG, BMP, DIB, MIFF, MAT, MNG, TGA führen können.
TIFF, WMF und XWD. Zu den nicht sicherheitsrelevanten Verbesserungen zählen die erweiterte WebP-Unterstützung und die Möglichkeit, Bilder im Braille-Format zur Betrachtung durch Blinde zu erfassen.
Ebenfalls erwähnt wird die Entfernung einer Funktion aus GraphicsMagick 1.3.32, die zum Durchsickern von Daten genutzt werden könnte. Das Problem betrifft die Verarbeitung der „@filename“-Notation für SVG- und WMF-Formate, die es Ihnen ermöglicht, den in der angegebenen Datei vorhandenen Text über dem Bild anzuzeigen oder in die Metadaten aufzunehmen. Ohne ordnungsgemäße Validierung der Eingabeparameter in Webanwendungen können Angreifer diese Funktion möglicherweise nutzen, um den Inhalt von Dateien vom Server abzurufen, beispielsweise Zugriffsschlüssel und gespeicherte Passwörter. Das Problem tritt auch in ImageMagick auf.
Source: opennet.ru