ny utgivelse av en pakke for bildebehandling og konvertering
, som eliminerer 52 potensielle sårbarheter identifisert under fuzzing-testing av prosjektet .
Totalt, siden februar 2018, har OSS-Fuzz identifisert 343 problemer, hvorav 331 allerede er fikset i GraphicsMagick (for de resterende 12 er 90-dagers fikseperioden ennå ikke utløpt). Hver for seg
at OSS-Fuzz også brukes til å sjekke et relatert prosjekt , der mer enn 100 problemer foreløpig forblir uløste, informasjon om hvilke allerede er offentlig tilgjengelig etter at fristen for retting er utløpt.
I tillegg til potensielle problemer identifisert av OSS-Fuzz-prosjektet, adresserer GraphicsMagick 1.3.32 også 14 bufferoverløpssårbarheter ved behandling av spesialstilte bilder i SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF og XWD. Ikke-sikkerhetsforbedringer inkluderer utvidet støtte for WebP og muligheten til å ta opp bilder i blindeskriftformat for visning av blinde.
Også bemerket er fjerningen fra GraphicsMagick 1.3.32 av en funksjon som kan brukes til å forårsake en datalekkasje. Problemet gjelder håndteringen av "@filnavn"-notasjonen for SVG- og WMF-formater, som gjør at tekst som finnes i den angitte filen kan vises på toppen av bildet eller inkluderes i metadataene. Potensielt, hvis nettapplikasjoner ikke har riktig validering av inngangsparametere, kan angripere bruke denne funksjonen til å hente innholdet i filer fra serveren, for eksempel tilgangsnøkler og lagrede passord. Problemet dukker også opp i ImageMagick.
Kilde: opennet.ru