պատկերների մշակման և փոխակերպման փաթեթի նոր թողարկում
, որը վերացնում է 52 պոտենցիալ խոցելիությունը, որոնք բացահայտվել են նախագծի կողմից fuzzing փորձարկման ժամանակ .
Ընդհանուր առմամբ, 2018 թվականի փետրվարից OSS-Fuzz-ը հայտնաբերել է 343 խնդիր, որոնցից 331-ն արդեն շտկվել են GraphicsMagick-ում (մնացած 12-ի համար 90-օրյա ֆիքսման ժամկետը դեռ չի լրացել): Առանձին-առանձին
որ OSS-Fuzz-ն օգտագործվում է նաև հարակից նախագիծը ստուգելու համար , որոնցում ներկայումս չլուծված են մնում ավելի քան 100 խնդիրներ, որոնց մասին տեղեկությունները արդեն հրապարակայնորեն հասանելի են ուղղման ժամկետի ավարտից հետո։
Ի լրումն OSS-Fuzz նախագծի կողմից հայտնաբերված հնարավոր խնդիրների, GraphicsMagick 1.3.32-ը նաև անդրադառնում է բուֆերային հոսքի 14 խոցելիությանը SVG, BMP, DIB, MIFF, MAT, MNG, TGA, հատուկ ոճավորված պատկերներ մշակելիս,
TIFF, WMF և XWD: Ոչ անվտանգության բարելավումները ներառում են WebP-ի ընդլայնված աջակցություն և պատկերներ Բրայլի ձևաչափով ձայնագրելու հնարավորություն՝ կույրերի դիտման համար:
Նշվում է նաև GraphicsMagick 1.3.32-ից մի ֆունկցիայի հեռացում, որը կարող է օգտագործվել տվյալների արտահոսք առաջացնելու համար: Խնդիրը վերաբերում է SVG և WMF ձևաչափերի համար «@filename» նշումին, որը թույլ է տալիս նշված ֆայլում առկա տեքստը ցուցադրել պատկերի վերևում կամ ներառել մետատվյալների մեջ: Հնարավոր է, եթե վեբ հավելվածները չունեն մուտքագրման պարամետրերի պատշաճ վավերացում, հարձակվողները կարող են օգտագործել այս հատկությունը՝ սերվերից ֆայլերի բովանդակությունը ստանալու համար, օրինակ՝ մուտքի ստեղները և պահպանված գաղտնաբառերը: Խնդիրը հայտնվում է նաև ImageMagick-ում:
Source: opennet.ru