keluaran baharu pakej untuk pemprosesan dan penukaran imej
, yang menghapuskan 52 potensi kelemahan yang dikenal pasti semasa ujian kabur oleh projek .
Secara keseluruhan, sejak Februari 2018, OSS-Fuzz telah mengenal pasti 343 masalah, di mana 331 daripadanya telah dibetulkan dalam GraphicsMagick (untuk baki 12, tempoh pembetulan 90 hari masih belum tamat). Secara berasingan
bahawa OSS-Fuzz juga digunakan untuk menyemak projek yang berkaitan , di mana lebih daripada 100 masalah masih belum dapat diselesaikan pada masa ini, maklumat mengenainya sudah tersedia secara umum selepas masa pembetulan telah tamat.
Selain potensi isu yang dikenal pasti oleh projek OSS-Fuzz, GraphicsMagick 1.3.32 juga menangani 14 kelemahan limpahan penimbal apabila memproses imej gaya khas dalam SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF dan XWD. Penambahbaikan bukan keselamatan termasuk sokongan yang diperluas untuk WebP dan keupayaan untuk merakam imej dalam format Braille untuk dilihat oleh orang buta.
Turut diperhatikan ialah penyingkiran daripada GraphicsMagick 1.3.32 ciri yang boleh digunakan untuk menyebabkan kebocoran data. Isu berkenaan dengan pengendalian notasi "@filename" untuk format SVG dan WMF, yang membenarkan teks yang terdapat dalam fail yang ditentukan untuk dipaparkan di atas imej atau disertakan dalam metadata. Berkemungkinan, jika aplikasi web tidak mempunyai pengesahan parameter input yang betul, penyerang boleh menggunakan ciri ini untuk mendapatkan kandungan fail daripada pelayan, contohnya, kunci akses dan kata laluan yang disimpan. Masalahnya juga muncul dalam ImageMagick.
Sumber: opennet.ru