نسخه جدید بسته ای برای پردازش و تبدیل تصویر
، که 52 آسیب پذیری احتمالی شناسایی شده در طول آزمایش فازی توسط پروژه را از بین می برد. .
در مجموع، از فوریه 2018، OSS-Fuzz 343 مشکل را شناسایی کرده است که 331 مشکل قبلاً در GraphicsMagick رفع شده است (برای 12 مورد باقی مانده، دوره رفع 90 روز هنوز به پایان نرسیده است). بصورت جداگانه
که OSS-Fuzz نیز برای بررسی یک پروژه مرتبط استفاده می شود ، که در آن بیش از 100 مشکل در حال حاضر حل نشده باقی مانده است، اطلاعاتی که در مورد آنها پس از پایان زمان تصحیح در دسترس عموم است.
علاوه بر مشکلات احتمالی شناسایی شده توسط پروژه OSS-Fuzz، GraphicsMagick 1.3.32 همچنین به 14 آسیبپذیری سرریز بافر در هنگام پردازش تصاویر با استایل خاص در SVG، BMP، DIB، MIFF، MAT، MNG، TGA، رسیدگی میکند.
TIFF، WMF و XWD. بهبودهای غیرامنیتی شامل پشتیبانی گسترده از WebP و توانایی ضبط تصاویر با فرمت بریل برای مشاهده توسط نابینایان است.
همچنین به حذف ویژگی GraphicsMagick 1.3.32 اشاره شده است که می تواند برای ایجاد نشت داده استفاده شود. مشکل مربوط به مدیریت نماد «@filename» برای فرمتهای SVG و WMF است، که اجازه میدهد متن موجود در فایل مشخص شده در بالای تصویر نمایش داده شود یا در فراداده گنجانده شود. به طور بالقوه، اگر برنامه های کاربردی وب اعتبارسنجی مناسب پارامترهای ورودی را نداشته باشند، مهاجمان می توانند از این ویژگی برای به دست آوردن محتویات فایل ها از سرور، به عنوان مثال، کلیدهای دسترسی و رمزهای عبور ذخیره شده استفاده کنند. این مشکل در ImageMagick نیز ظاهر می شود.
منبع: opennet.ru