Нийтдээ 2018 оны 343-р сараас хойш OSS-Fuzz 331 асуудлыг тодорхойлсон бөгөөд үүнээс 12-ийг нь GraphicsMagick дээр зассан байна (үлдсэн 90-ын хувьд XNUMX хоногийн засварын хугацаа дуусаагүй байна). Тус тусад нь
OSS-Fuzz төслөөс тодорхойлсон боломжит асуудлуудаас гадна GraphicsMagick 1.3.32 нь SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF болон XWD. Аюулгүй байдлын бус сайжруулалтууд нь WebP-ийн өргөтгөсөн дэмжлэг болон хараагүй хүмүүст зориулсан зургийг брайл форматаар бичих боломжийг багтаасан болно.
Мөн GraphicsMagick 1.3.32-аас өгөгдөл алдагдуулахад ашиглаж болох функцийг устгасан гэдгийг онцолсон. Асуудал нь SVG болон WMF форматын "@filename" тэмдэглэгээний зохицуулалттай холбоотой бөгөөд энэ нь заасан файлд байгаа текстийг зургийн дээд талд харуулах эсвэл мета өгөгдөлд оруулах боломжийг олгодог. Хэрэв вэб программууд оролтын параметрүүдийг зохих ёсоор баталгаажуулаагүй бол халдагчид энэ функцийг ашиглан серверээс файлын агуулгыг олж авах боломжтой, жишээлбэл хандалтын түлхүүр, хадгалсан нууц үг. Асуудал ImageMagick дээр бас гарч ирдэг.
Эх сурвалж: opennet.ru