кескінді өңдеуге және түрлендіруге арналған пакеттің жаңа шығарылымы
, бұл жобаның fuzzing тестілеуі кезінде анықталған 52 ықтимал осалдықты жояды .
Барлығы 2018 жылдың ақпан айынан бастап OSS-Fuzz 343 мәселені анықтады, оның 331-і GraphicsMagick-те түзетілген (қалған 12-де 90 күндік түзету мерзімі әлі аяқталған жоқ). Бөлек
OSS-Fuzz сәйкес жобаны тексеру үшін де пайдаланылады , онда қазіргі уақытта 100-ден астам мәселе шешілмеген, олар туралы ақпарат түзету мерзімі өткеннен кейін жалпыға қолжетімді.
OSS-Fuzz жобасымен анықталған ықтимал мәселелерден басқа, GraphicsMagick 1.3.32 сонымен қатар SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF және XWD. Қауіпсіздікке жатпайтын жақсартулар WebP үшін кеңейтілген қолдауды және зағиптар көру үшін кескіндерді Брайль пішімінде жазу мүмкіндігін қамтиды.
Сондай-ақ, GraphicsMagick 1.3.32 нұсқасынан деректердің ағып кетуіне себеп болуы мүмкін мүмкіндіктің жойылғаны атап өтілді. Мәселе SVG және WMF пішімдері үшін «@filename» белгісін өңдеуге қатысты, бұл көрсетілген файлда бар мәтінді кескіннің жоғарғы жағында көрсетуге немесе метадеректерге қосуға мүмкіндік береді. Ықтимал, егер веб-қосымшаларда енгізу параметрлерін дұрыс тексеру болмаса, шабуылдаушылар бұл мүмкіндікті серверден файлдардың мазмұнын алу үшін пайдалана алады, мысалы, кіру кілттері мен сақталған құпия сөздер. Мәселе ImageMagick бағдарламасында да пайда болады.
Ақпарат көзі: opennet.ru