uusi julkaisu paketista kuvankäsittelyä ja muuntamista varten
, joka eliminoi 52 mahdollista haavoittuvuutta, jotka tunnistettiin projektin suorittaman fuzzing-testauksen aikana .
Helmikuusta 2018 lähtien OSS-Fuzz on tunnistanut yhteensä 343 ongelmaa, joista 331 on jo korjattu GraphicsMagickissa (muiden 12:n osalta 90 päivän korjausaika ei ole vielä umpeutunut). Erikseen
että OSS-Fuzzia käytetään myös asiaan liittyvän projektin tarkistamiseen , jossa on tällä hetkellä ratkaisematta yli 100 ongelmaa, joista tiedot ovat jo julkisesti saatavilla korjausajan päätyttyä.
OSS-Fuzz-projektin havaitsemien mahdollisten ongelmien lisäksi GraphicsMagick 1.3.32 korjaa myös 14 puskurin ylivuotohaavoittuvuutta, kun käsitellään erityisesti muotoiltuja kuvia SVG-, BMP-, DIB-, MIFF-, MAT-, MNG-, TGA-,
TIFF, WMF ja XWD. Ei-turvallisuuteen liittyviä parannuksia ovat laajennettu WebP-tuki ja mahdollisuus tallentaa kuvia pistekirjoitusmuodossa sokeiden katselua varten.
On myös huomattava, että GraphicsMagick 1.3.32:sta on poistettu ominaisuus, jota voitaisiin käyttää tietovuodon aiheuttamiseen. Ongelma koskee SVG- ja WMF-muotojen @filename-merkinnän käsittelyä, mikä sallii määritetyssä tiedostossa olevan tekstin näyttämisen kuvan päällä tai sisällyttämisen metatietoihin. Jos verkkosovelluksilla ei ole asianmukaista syöttöparametrien vahvistusta, hyökkääjät voivat käyttää tätä ominaisuutta hankkiakseen tiedostojen sisällön palvelimelta, esimerkiksi pääsyavaimia ja tallennettuja salasanoja. Ongelma näkyy myös ImageMagickissa.
Lähde: opennet.ru