rilis baru paket untuk pemrosesan dan konversi gambar
, yang menghilangkan 52 potensi kerentanan yang diidentifikasi selama pengujian fuzzing oleh proyek .
Secara total, sejak Februari 2018, OSS-Fuzz telah mengidentifikasi 343 masalah, 331 di antaranya telah diperbaiki di GraphicsMagick (12 sisanya, periode perbaikan 90 hari belum berakhir). Terpisah
bahwa OSS-Fuzz juga digunakan untuk memeriksa proyek terkait , di mana lebih dari 100 masalah masih belum terselesaikan, informasi tentangnya sudah tersedia untuk umum setelah waktu koreksi berakhir.
Selain potensi masalah yang diidentifikasi oleh proyek OSS-Fuzz, GraphicsMagick 1.3.32 juga mengatasi 14 kerentanan buffer overflow saat memproses gambar dengan gaya khusus dalam SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF dan XWD. Peningkatan non-keamanan mencakup dukungan yang diperluas untuk WebP dan kemampuan untuk merekam gambar dalam format Braille untuk dilihat oleh orang buta.
Yang juga dicatat adalah penghapusan fitur GraphicsMagick 1.3.32 yang dapat digunakan untuk menyebabkan kebocoran data. Masalah ini berkaitan dengan penanganan notasi β@namafileβ untuk format SVG dan WMF, yang memungkinkan teks yang ada dalam file tertentu ditampilkan di atas gambar atau disertakan dalam metadata. Kemungkinannya, jika aplikasi web tidak memiliki validasi parameter input yang tepat, penyerang dapat menggunakan fitur ini untuk mendapatkan konten file dari server, misalnya, kunci akses dan kata sandi yang disimpan. Masalahnya juga muncul di ImageMagick.
Sumber: opennet.ru