egy csomag új kiadása a képfeldolgozáshoz és -átalakításhoz
, amely kiküszöböli a projekt által végzett fuzzing tesztelés során azonosított 52 lehetséges sebezhetőséget .
Összességében 2018 februárja óta az OSS-Fuzz 343 problémát azonosított, amelyek közül 331-et már kijavítottak a GraphicsMagickben (a fennmaradó 12 esetében a 90 napos javítási időszak még nem járt le). Külön
hogy az OSS-Fuzz-t egy kapcsolódó projekt ellenőrzésére is használják , amelyben jelenleg több mint 100 probléma maradt megoldatlan, amelyekről a korrekciós idő lejárta után már nyilvánosan elérhetőek az információk.
Az OSS-Fuzz projekt által azonosított lehetséges problémákon kívül a GraphicsMagick 1.3.32 14 puffertúlcsordulási sebezhetőséget is kiküszöböl, amikor különleges stílusú képeket dolgoz fel SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF és XWD. A nem biztonsági fejlesztések közé tartozik a WebP kiterjesztett támogatása, valamint a vakok általi megtekintéshez Braille-formátumú képek rögzítésének lehetősége.
Azt is meg kell jegyezni, hogy a GraphicsMagick 1.3.32-ből eltávolítottak egy olyan szolgáltatást, amely adatszivárgást okozhat. A probléma az SVG és WMF formátumok „@filename” jelölésének kezelésével kapcsolatos, amely lehetővé teszi a megadott fájlban található szöveg megjelenítését a kép tetején vagy a metaadatokban. Lehetséges, hogy ha a webalkalmazások nem rendelkeznek megfelelő bemeneti paraméterek érvényesítésével, a támadók ezt a funkciót használhatják a fájlok tartalmának, például hozzáférési kulcsainak és mentett jelszavainak a szerverről való lekérésére. A probléma az ImageMagickben is megjelenik.
Forrás: opennet.ru