nieuwe release van een pakket voor beeldverwerking en conversie
, waarmee 52 potentiële kwetsbaarheden worden geëlimineerd die zijn geïdentificeerd tijdens fuzzing-tests door het project .
In totaal heeft OSS-Fuzz sinds februari 2018 343 problemen geïdentificeerd, waarvan er 331 al zijn opgelost in GraphicsMagick (voor de resterende 12 is de herstelperiode van 90 dagen nog niet verstreken). Afzonderlijk
dat OSS-Fuzz ook wordt gebruikt om een gerelateerd project te controleren , waarin momenteel meer dan honderd problemen onopgelost blijven, waarvan informatie al publiekelijk beschikbaar is nadat de tijd voor correctie is verstreken.
Naast de potentiële problemen die door het OSS-Fuzz-project zijn geïdentificeerd, lost GraphicsMagick 1.3.32 ook 14 bufferoverflow-kwetsbaarheden op bij het verwerken van speciaal opgemaakte afbeeldingen in SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF en XWD. Verbeteringen die geen verband houden met de beveiliging omvatten uitgebreide ondersteuning voor WebP en de mogelijkheid om afbeeldingen in brailleformaat op te nemen zodat ze door blinden kunnen worden bekeken.
Ook wordt opgemerkt dat er uit GraphicsMagick 1.3.32 een functie is verwijderd die gebruikt zou kunnen worden om een datalek te veroorzaken. Het probleem betreft de verwerking van de notatie “@bestandsnaam” voor SVG- en WMF-formaten, waardoor tekst die aanwezig is in het opgegeven bestand boven op de afbeelding kan worden weergegeven of in de metagegevens kan worden opgenomen. Als webapplicaties niet over de juiste validatie van invoerparameters beschikken, kunnen aanvallers deze functie mogelijk gebruiken om de inhoud van bestanden van de server te verkrijgen, bijvoorbeeld toegangssleutels en opgeslagen wachtwoorden. Het probleem treedt ook op in ImageMagick.
Bron: opennet.ru