nuova versione di un pacchetto per l'elaborazione e la conversione delle immagini
, che elimina 52 potenziali vulnerabilità identificate durante i test fuzzing del progetto .
In totale, da febbraio 2018, OSS-Fuzz ha identificato 343 problemi, di cui 331 sono già stati risolti in GraphicsMagick (per i restanti 12, il periodo di risoluzione di 90 giorni non è ancora scaduto). Separatamente
che OSS-Fuzz viene utilizzato anche per controllare un progetto correlato , in cui rimangono attualmente irrisolti più di 100 problemi, le cui informazioni sono già disponibili al pubblico dopo la scadenza del termine per la correzione.
Oltre ai potenziali problemi identificati dal progetto OSS-Fuzz, GraphicsMagick 1.3.32 risolve anche 14 vulnerabilità di buffer overflow durante l'elaborazione di immagini con stili speciali in SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF e XWD. I miglioramenti non legati alla sicurezza includono il supporto esteso per WebP e la possibilità di registrare immagini in formato Braille per la visualizzazione da parte di non vedenti.
Viene inoltre segnalata la rimozione da GraphicsMagick 1.3.32 di una funzionalità che potrebbe essere utilizzata per causare una fuga di dati. Il problema riguarda la gestione della notazione "@filename" per i formati SVG e WMF, che consente di visualizzare il testo presente nel file specificato sopra l'immagine o includerlo nei metadati. Potenzialmente, se le applicazioni web non dispongono di un'adeguata convalida dei parametri di input, gli aggressori possono utilizzare questa funzionalità per ottenere il contenuto dei file dal server, ad esempio chiavi di accesso e password salvate. Il problema appare anche in ImageMagick.
Fonte: opennet.ru