Nouvo lage yon pake pou tretman imaj ak konvèsyon
, ki elimine 52 frajilite potansyèl yo idantifye pandan tès fuzzing pa pwojè a .
An total, depi fevriye 2018, OSS-Fuzz te idantifye 343 pwoblèm, 331 yo te deja fikse nan GraphicsMagick (pou 12 ki rete yo, peryòd ranje 90 jou a poko ekspire). Separeman
ke OSS-Fuzz tou itilize pou tcheke yon pwojè ki gen rapò , kote plis pase 100 pwoblèm kounye a rete san rezoud, enfòmasyon sou ki deja disponib piblikman apre tan pou koreksyon an fini.
Anplis de pwoblèm potansyèl yo idantifye nan pwojè OSS-Fuzz la, GraphicsMagick 1.3.32 adrese tou 14 vilnerabilite debòde tanpon lè yo trete imaj ki gen fòm espesyal nan SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF ak XWD. Amelyorasyon ki pa sekirite yo enkli sipò elaji pou WebP ak kapasite pou anrejistre imaj nan fòma Bray pou avèg yo wè yo.
Epitou remake se retire nan GraphicsMagick 1.3.32 nan yon karakteristik ki ta ka itilize yo lakòz yon fwit done. Pwoblèm nan konsène manyen notasyon "@filename" pou fòma SVG ak WMF, ki pèmèt tèks ki prezan nan fichye espesifye a parèt sou tèt imaj la oswa enkli nan metadata yo. Potansyèlman, si aplikasyon entènèt yo pa gen validation apwopriye nan paramèt opinyon, atakè yo ka sèvi ak karakteristik sa a pou jwenn sa ki nan dosye ki soti nan sèvè a, pou egzanp, kle aksè ak modpas sove. Pwoblèm nan parèt tou nan ImageMagick.
Sous: opennet.ru