pilditöötluseks ja teisendamiseks mõeldud paketi uus väljalase
, mis kõrvaldab 52 potentsiaalset haavatavust, mis tuvastati projekti hägusate katsete käigus .
Kokku on OSS-Fuzz alates 2018. aasta veebruarist tuvastanud 343 probleemi, millest 331 on GraphicsMagickis juba parandatud (ülejäänud 12 puhul ei ole 90-päevane parandamisperiood veel läbi). Eraldi
et OSS-Fuzzi kasutatakse ka seotud projekti kontrollimiseks , milles on hetkel lahendamata üle 100 probleemi, mille kohta on teave juba avalikult kättesaadav pärast parandamise aja möödumist.
Lisaks OSS-Fuzzi projekti tuvastatud võimalikele probleemidele lahendab GraphicsMagick 1.3.32 ka 14 puhvri ületäitumise haavatavust, kui töödeldakse spetsiaalselt kujundatud pilte SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF ja XWD. Turvalisusega mitteseotud täiustused hõlmavad WebP laiendatud tuge ja võimalust salvestada pilte punktkirjavormingus pimedatele vaatamiseks.
Samuti märgitakse, et GraphicsMagicki versioonist 1.3.32 eemaldati funktsioon, mida saaks kasutada andmelekke tekitamiseks. Probleem puudutab SVG- ja WMF-vormingus tähise "@failinimi" käsitlemist, mis võimaldab määratud failis olevat teksti kuvada pildi peal või lisada metaandmetesse. Võimalik, et kui veebirakendustel pole sisendparameetrite õiget valideerimist, saavad ründajad seda funktsiooni kasutada serverist failide sisu, näiteks juurdepääsuvõtmete ja salvestatud paroolide hankimiseks. Probleem ilmneb ka ImageMagickis.
Allikas: opennet.ru