νέα έκδοση πακέτου για επεξεργασία και μετατροπή εικόνας
, το οποίο εξαλείφει 52 πιθανές ευπάθειες που εντοπίστηκαν κατά τη δοκιμή fuzzing από το έργο .
Συνολικά, από τον Φεβρουάριο του 2018, το OSS-Fuzz έχει εντοπίσει 343 προβλήματα, εκ των οποίων τα 331 έχουν ήδη επιδιορθωθεί στο GraphicsMagick (για τα υπόλοιπα 12, η περίοδος επιδιόρθωσης των 90 ημερών δεν έχει ακόμη λήξει). Χωριστά
ότι το OSS-Fuzz χρησιμοποιείται επίσης για τον έλεγχο ενός σχετικού έργου , όπου περισσότερα από 100 προβλήματα παραμένουν επί του παρόντος ανεπίλυτα, πληροφορίες για τα οποία είναι ήδη δημόσια διαθέσιμες μετά τη λήξη του χρόνου διόρθωσης.
Εκτός από τα πιθανά ζητήματα που εντοπίστηκαν από το έργο OSS-Fuzz, το GraphicsMagick 1.3.32 αντιμετωπίζει επίσης 14 ευπάθειες υπερχείλισης buffer κατά την επεξεργασία εικόνων με ειδικό στυλ σε SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF και XWD. Οι βελτιώσεις που δεν αφορούν την ασφάλεια περιλαμβάνουν εκτεταμένη υποστήριξη για το WebP και τη δυνατότητα εγγραφής εικόνων σε μορφή Braille για προβολή από τυφλούς.
Σημειώνεται επίσης η αφαίρεση από το GraphicsMagick 1.3.32 μιας δυνατότητας που θα μπορούσε να χρησιμοποιηθεί για να προκαλέσει διαρροή δεδομένων. Το ζήτημα αφορά τον χειρισμό της σημείωσης «@filename» για μορφές SVG και WMF, που επιτρέπει στο κείμενο που υπάρχει στο καθορισμένο αρχείο να εμφανίζεται πάνω από την εικόνα ή να περιλαμβάνεται στα μεταδεδομένα. Δυνητικά, εάν οι εφαρμογές Ιστού δεν διαθέτουν σωστή επικύρωση των παραμέτρων εισόδου, οι εισβολείς μπορούν να χρησιμοποιήσουν αυτήν τη δυνατότητα για να αποκτήσουν τα περιεχόμενα των αρχείων από τον διακομιστή, για παράδειγμα, κλειδιά πρόσβασης και αποθηκευμένους κωδικούς πρόσβασης. Το πρόβλημα εμφανίζεται επίσης στο ImageMagick.
Πηγή: opennet.ru