Nuevo lanzamiento de un paquete para procesamiento y conversión de imágenes.
, que elimina 52 vulnerabilidades potenciales identificadas durante las pruebas de fuzzing realizadas por el proyecto. .
En total, desde febrero de 2018, OSS-Fuzz ha identificado 343 problemas, de los cuales 331 ya se han solucionado en GraphicsMagick (para los 12 restantes, el período de reparación de 90 días aún no ha expirado). Por separado
que OSS-Fuzz también se utiliza para comprobar un proyecto relacionado , en el que actualmente quedan sin resolver más de 100 problemas, cuya información ya está disponible públicamente una vez transcurrido el tiempo de corrección.
Además de los posibles problemas identificados por el proyecto OSS-Fuzz, GraphicsMagick 1.3.32 también aborda 14 vulnerabilidades de desbordamiento del búfer al procesar imágenes con estilos especiales en SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF y XWD. Las mejoras no relacionadas con la seguridad incluyen soporte ampliado para WebP y la capacidad de grabar imágenes en formato Braille para que las vean los ciegos.
También se destaca la eliminación de GraphicsMagick 1.3.32 de una característica que podría usarse para causar una fuga de datos. El problema se refiere al manejo de la notación “@filename” para los formatos SVG y WMF, que permite que el texto presente en el archivo especificado se muestre encima de la imagen o se incluya en los metadatos. Potencialmente, si las aplicaciones web no tienen una validación adecuada de los parámetros de entrada, los atacantes pueden usar esta característica para obtener el contenido de los archivos del servidor, por ejemplo, claves de acceso y contraseñas guardadas. El problema también aparece en ImageMagick.
Fuente: opennet.ru