nova eldono de pako por bildprilaborado kaj konvertiĝo
, kiu eliminas 52 eblajn vundeblecojn identigitajn dum fuzzing-testado de la projekto .
Entute, ekde februaro 2018, OSS-Fuzz identigis 343 problemojn, el kiuj 331 jam estis riparitaj en GraphicsMagick (por la ceteraj 12, la 90-taga fiksperiodo ankoraŭ ne eksvalidiĝis). Aparte
ke OSS-Fuzz ankaŭ estas uzata por kontroli rilatan projekton , en kiu pli ol 100 problemoj nuntempe restas nesolvitaj, informoj pri kiuj jam estas publike haveblaj post kiam la tempo por korekto eksvalidiĝis.
Krom eblaj problemoj identigitaj de la projekto OSS-Fuzz, GraphicsMagick 1.3.32 ankaŭ traktas 14 bufrosuperfluajn vundeblecojn dum prilaborado de speciale stilitaj bildoj en SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF kaj XWD. Ne-sekurecaj plibonigoj inkludas vastigitan subtenon por WebP kaj la kapablon registri bildojn en brajla formato por spektado de blinduloj.
Ankaŭ rimarkita estas la forigo de GraphicsMagick 1.3.32 de trajto kiu povus esti uzata por kaŭzi datuman likon. La afero koncernas la uzadon de la notacio "@filename" por SVG kaj WMF-formatoj, kiu permesas tekston, kiu ĉeestas en la specifita dosiero, esti montrita sur la bildo aŭ inkluzivita en la metadatenoj. Eble, se TTT-aplikoj ne havas taŭgan validigon de enigo-parametroj, atakantoj povas uzi ĉi tiun funkcion por akiri la enhavon de dosieroj de la servilo, ekzemple, alirŝlosiloj kaj konservitaj pasvortoj. La problemo ankaŭ aperas en ImageMagick.
fonto: opennet.ru