naujas vaizdo apdorojimo ir konvertavimo paketo leidimas
, kuris pašalina 52 galimus pažeidžiamumus, nustatytus atliekant neaiškią projekto testavimą .
Iš viso nuo 2018 m. vasario mėn. OSS-Fuzz nustatė 343 problemas, iš kurių 331 jau buvo ištaisyta programoje GraphicsMagick (likusioms 12 90 dienų taisymo laikotarpis dar nepasibaigęs). Atskirai
kad OSS-Fuzz taip pat naudojamas susijusiam projektui patikrinti , kurioje šiuo metu liko neišspręstų daugiau nei 100 problemų, apie kurias informacija jau yra viešai prieinama pasibaigus taisymo laikui.
Be galimų problemų, nustatytų OSS-Fuzz projekte, GraphicsMagick 1.3.32 taip pat pašalina 14 buferio perpildymo spragų, kai apdorojami specialiai suformatuoti vaizdai SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF ir XWD. Su saugumu nesusiję patobulinimai apima išplėstą WebP palaikymą ir galimybę įrašyti vaizdus Brailio formatu, kad juos galėtų peržiūrėti aklieji.
Taip pat pažymima, kad iš „GraphicsMagick 1.3.32“ buvo pašalinta funkcija, kuri gali būti naudojama duomenų nutekėjimui sukelti. Problema susijusi su SVG ir WMF formatų žymėjimo „@filename“ tvarkymu, kuris leidžia tekstą, esantį nurodytame faile, rodyti vaizdo viršuje arba įtraukti į metaduomenis. Jei žiniatinklio programos neturi tinkamo įvesties parametrų patvirtinimo, užpuolikai gali naudoti šią funkciją norėdami gauti failų turinį iš serverio, pavyzdžiui, prieigos raktus ir išsaugotus slaptažodžius. Problema taip pat atsiranda „ImageMagick“.
Šaltinis: opennet.ru