Συνολικά, από τον Φεβρουάριο του 2018, το OSS-Fuzz έχει εντοπίσει 343 προβλήματα, εκ των οποίων τα 331 έχουν ήδη επιδιορθωθεί στο GraphicsMagick (για τα υπόλοιπα 12, η περίοδος επιδιόρθωσης των 90 ημερών δεν έχει ακόμη λήξει). Χωριστά
Εκτός από τα πιθανά ζητήματα που εντοπίστηκαν από το έργο OSS-Fuzz, το GraphicsMagick 1.3.32 αντιμετωπίζει επίσης 14 ευπάθειες υπερχείλισης buffer κατά την επεξεργασία εικόνων με ειδικό στυλ σε SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF και XWD. Οι βελτιώσεις που δεν αφορούν την ασφάλεια περιλαμβάνουν εκτεταμένη υποστήριξη για το WebP και τη δυνατότητα εγγραφής εικόνων σε μορφή Braille για προβολή από τυφλούς.
Σημειώνεται επίσης η αφαίρεση από το GraphicsMagick 1.3.32 μιας δυνατότητας που θα μπορούσε να χρησιμοποιηθεί για να προκαλέσει διαρροή δεδομένων. Το ζήτημα αφορά τον χειρισμό της σημείωσης «@filename» για μορφές SVG και WMF, που επιτρέπει στο κείμενο που υπάρχει στο καθορισμένο αρχείο να εμφανίζεται πάνω από την εικόνα ή να περιλαμβάνεται στα μεταδεδομένα. Δυνητικά, εάν οι εφαρμογές Ιστού δεν διαθέτουν σωστή επικύρωση των παραμέτρων εισόδου, οι εισβολείς μπορούν να χρησιμοποιήσουν αυτήν τη δυνατότητα για να αποκτήσουν τα περιεχόμενα των αρχείων από τον διακομιστή, για παράδειγμα, κλειδιά πρόσβασης και αποθηκευμένους κωδικούς πρόσβασης. Το πρόβλημα εμφανίζεται επίσης στο ImageMagick.
Πηγή: opennet.ru