Helmikuusta 2018 lähtien OSS-Fuzz on tunnistanut yhteensä 343 ongelmaa, joista 331 on jo korjattu GraphicsMagickissa (muiden 12:n osalta 90 päivän korjausaika ei ole vielä umpeutunut). Erikseen
OSS-Fuzz-projektin havaitsemien mahdollisten ongelmien lisäksi GraphicsMagick 1.3.32 korjaa myös 14 puskurin ylivuotohaavoittuvuutta, kun käsitellään erityisesti muotoiltuja kuvia SVG-, BMP-, DIB-, MIFF-, MAT-, MNG-, TGA-,
TIFF, WMF ja XWD. Ei-turvallisuuteen liittyviä parannuksia ovat laajennettu WebP-tuki ja mahdollisuus tallentaa kuvia pistekirjoitusmuodossa sokeiden katselua varten.
On myös huomattava, että GraphicsMagick 1.3.32:sta on poistettu ominaisuus, jota voitaisiin käyttää tietovuodon aiheuttamiseen. Ongelma koskee SVG- ja WMF-muotojen @filename-merkinnän käsittelyä, mikä sallii määritetyssä tiedostossa olevan tekstin näyttämisen kuvan päällä tai sisällyttämisen metatietoihin. Jos verkkosovelluksilla ei ole asianmukaista syöttöparametrien vahvistusta, hyökkääjät voivat käyttää tätä ominaisuutta hankkiakseen tiedostojen sisällön palvelimelta, esimerkiksi pääsyavaimia ja tallennettuja salasanoja. Ongelma näkyy myös ImageMagickissa.
Lähde: opennet.ru