nije release fan in pakket foar ôfbylding ferwurking en konverzje
, dy't elimineert 52 potinsjele kwetsberens identifisearre tidens fuzzing testen troch it projekt .
Yn totaal, sûnt febrewaris 2018, hat OSS-Fuzz 343 problemen identifisearre, wêrfan 331 al fêst binne yn GraphicsMagick (foar de oerbleaune 12 is de 90-dagen fixperioade noch net ferrûn). Apart
dat OSS-Fuzz ek brûkt wurdt om in besibbe projekt te kontrolearjen , wêrby't op it stuit mear as 100 problemen net oplost bliuwe, wêrfan ynformaasje al iepenbier beskikber is neidat de tiid foar korreksje ferrûn is.
Neist potinsjele problemen identifisearre troch it OSS-Fuzz-projekt, behannelet GraphicsMagick 1.3.32 ek 14 buffer-oerstream-kwetsberheden by it ferwurkjen fan spesjaal styleare ôfbyldings yn SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF en XWD. Net-feiligensferbetterings omfetsje útwreide stipe foar WebP en de mooglikheid om ôfbyldings op te nimmen yn Braille-formaat foar besjen troch blinen.
Ek opmurken is it fuortheljen fan GraphicsMagick 1.3.32 fan in funksje dy't koe wurde brûkt om in gegevenslek te feroarsaakjen. It probleem giet oer it behanneljen fan de notaasje "@filename" foar SVG- en WMF-formaten, wêrtroch tekst dy't oanwêzich is yn it opjûne bestân boppe op 'e ôfbylding werjûn wurde kin of opnommen wurde yn' e metadata. Potinsjeel, as webapplikaasjes gjin goede falidaasje fan ynfierparameters hawwe, kinne oanfallers dizze funksje brûke om de ynhâld fan bestannen fan 'e tsjinner te krijen, bygelyks tagongskaaien en bewarre wachtwurden. It probleem ferskynt ek yn ImageMagick.
Boarne: opennet.ru