Neue Veröffentlichung eines Pakets zur Verarbeitung und Konvertierung von Bildern
, wodurch 52 potenzielle Schwachstellen beseitigt wurden, die während der Fuzzing-Tests des Projekts identifiziert wurden .
Seit Februar 2018 wurden von OSS-Fuzz insgesamt 343 Probleme identifiziert, von denen 331 bereits von GraphicsMagick behoben wurden (für die restlichen 12 ist die 90-tägige Behebungsfrist noch nicht abgelaufen). Separat
dass OSS-Fuzz auch zum Testen eines angrenzenden Projekts verwendet wird , das derzeit mehr als 100 ungelöste Probleme aufweist, deren Informationen nach Ablauf der Behebungszeit bereits öffentlich verfügbar sind.
Zusätzlich zu den vom OSS-Fuzz-Projekt identifizierten potenziellen Problemen behebt GraphicsMagick 1.3.32 auch 14 Schwachstellen, die zu Pufferüberläufen bei der Verarbeitung speziell formatierter Bilder in SVG, BMP, DIB, MIFF, MAT, MNG, TGA führen können.
TIFF, WMF und XWD. Zu den nicht sicherheitsrelevanten Verbesserungen zählen die erweiterte WebP-Unterstützung und die Möglichkeit, Bilder im Braille-Format zur Betrachtung durch Blinde zu erfassen.
Ebenfalls erwähnt wird die Entfernung einer Funktion aus GraphicsMagick 1.3.32, die zum Durchsickern von Daten genutzt werden könnte. Das Problem betrifft die Verarbeitung der „@filename“-Notation für SVG- und WMF-Formate, die es Ihnen ermöglicht, den in der angegebenen Datei vorhandenen Text über dem Bild anzuzeigen oder in die Metadaten aufzunehmen. Ohne ordnungsgemäße Validierung der Eingabeparameter in Webanwendungen können Angreifer diese Funktion möglicherweise nutzen, um den Inhalt von Dateien vom Server abzurufen, beispielsweise Zugriffsschlüssel und gespeicherte Passwörter. Das Problem tritt auch in ImageMagick auf.
Source: opennet.ru