jauna pakotnes izlaidums attēlu apstrādei un konvertēšanai
, kas novērš 52 potenciālās ievainojamības, kas tika konstatētas projekta izplūdušās testēšanas laikā .
Kopumā kopš 2018. gada februāra OSS-Fuzz ir identificējis 343 problēmas, no kurām 331 jau ir novērsta programmā GraphicsMagick (pārējām 12 90 dienu labošanas periods vēl nav beidzies). Atsevišķi
ka OSS-Fuzz tiek izmantots arī saistīta projekta pārbaudei , kurā šobrīd neatrisinātas ir vairāk nekā 100 problēmas, par kurām informācija jau ir publiski pieejama pēc labošanas laika beigām.
Papildus OSS-Fuzz projekta identificētajām iespējamām problēmām GraphicsMagick 1.3.32 novērš arī 14 bufera pārpildes ievainojamības, apstrādājot īpaši veidotus attēlus SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF un XWD. Ar drošību nesaistīti uzlabojumi ietver paplašinātu WebP atbalstu un iespēju ierakstīt attēlus Braila formātā, lai tos skatītu neredzīgie.
Ir arī atzīmēts, ka no GraphicsMagick 1.3.32 ir noņemts līdzeklis, ko varētu izmantot, lai izraisītu datu noplūdi. Problēma ir saistīta ar apzīmējuma “@filename” apstrādi SVG un WMF formātiem, kas ļauj norādītajā failā esošo tekstu attēlot attēla augšdaļā vai iekļaut metadatos. Ja tīmekļa lietojumprogrammām nav atbilstošas ievades parametru pārbaudes, uzbrucēji var izmantot šo līdzekli, lai no servera iegūtu failu saturu, piemēram, piekļuves atslēgas un saglabātās paroles. Problēma parādās arī programmā ImageMagick.
Avots: opennet.ru