Kokku on OSS-Fuzz alates 2018. aasta veebruarist tuvastanud 343 probleemi, millest 331 on GraphicsMagickis juba parandatud (ülejäänud 12 puhul ei ole 90-päevane parandamisperiood veel läbi). Eraldi
Lisaks OSS-Fuzzi projekti tuvastatud võimalikele probleemidele lahendab GraphicsMagick 1.3.32 ka 14 puhvri ületäitumise haavatavust, kui töödeldakse spetsiaalselt kujundatud pilte SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF ja XWD. Turvalisusega mitteseotud täiustused hõlmavad WebP laiendatud tuge ja võimalust salvestada pilte punktkirjavormingus pimedatele vaatamiseks.
Samuti märgitakse, et GraphicsMagicki versioonist 1.3.32 eemaldati funktsioon, mida saaks kasutada andmelekke tekitamiseks. Probleem puudutab SVG- ja WMF-vormingus tähise "@failinimi" käsitlemist, mis võimaldab määratud failis olevat teksti kuvada pildi peal või lisada metaandmetesse. Võimalik, et kui veebirakendustel pole sisendparameetrite õiget valideerimist, saavad ründajad seda funktsiooni kasutada serverist failide sisu, näiteks juurdepääsuvõtmete ja salvestatud paroolide hankimiseks. Probleem ilmneb ka ImageMagickis.
Allikas: opennet.ru