画像の処理と変換のためのパッケージの新しいリリース
、プロジェクトによるファジング テスト中に特定された 52 個の潜在的な脆弱性が排除されました。 .
2018 年 343 月以降、OSS-Fuzz によって合計 331 件の問題が特定され、そのうち 12 件は GraphicsMagick によってすでに修正されています (残りの 90 件については、XNUMX 日間の修正期間がまだ終了していません)。 別々に
OSS-Fuzz は隣接するプロジェクトのテストにも使用されること には現在 100 件以上の未解決の問題があり、修正期間後にその情報はすでに公開されています。
OSS-Fuzz プロジェクトによって特定された潜在的な問題に加え、GraphicsMagick 1.3.32 では、SVG、BMP、DIB、MIFF、MAT、MNG、TGA、
TIFF、WMF、XWD。 セキュリティ関連以外の改善点の中で、WebP サポートが拡張され、視覚障害者が閲覧できるように点字形式で画像をキャプチャする機能が際立っています。
データ漏洩に使用される可能性のある機能が GraphicsMagick 1.3.32 から削除されたことも注目されています。 この問題は、SVG および WMF 形式の「@filename」表記の処理に関するもので、これにより、指定されたファイルに存在するテキストを画像の上に表示したり、メタデータに含めたりすることができます。 Web アプリケーションの入力パラメータが適切に検証されていない場合、攻撃者はこの機能を使用して、アクセス キーや保存されたパスワードなどのファイルの内容をサーバーから取得できる可能性があります。 この問題は ImageMagick でも発生します。
出所: オープンネット.ru