nowa wersja pakietu do przetwarzania i konwersji obrazów
, co eliminuje 52 potencjalne podatności zidentyfikowane podczas testów fuzzingowych prowadzonych przez projekt .
W sumie od lutego 2018 roku OSS-Fuzz zidentyfikował 343 problemy, z czego 331 zostało już naprawionych w GraphicsMagick (w przypadku pozostałych 12 nie upłynął jeszcze 90-dniowy okres naprawy). Osobno
że OSS-Fuzz jest również używany do sprawdzania powiązanego projektu , w którym obecnie nierozwiązanych pozostaje ponad 100 problemów, o których informacja jest już publicznie dostępna po upływie terminu na ich poprawienie.
Oprócz potencjalnych problemów zidentyfikowanych przez projekt OSS-Fuzz, GraphicsMagick 1.3.32 naprawia także 14 luk w zabezpieczeniach związanych z przepełnieniem bufora podczas przetwarzania specjalnie stylizowanych obrazów w formatach SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF i XWD. Ulepszenia niezwiązane z bezpieczeństwem obejmują rozszerzoną obsługę WebP i możliwość nagrywania obrazów w formacie Braille'a w celu oglądania przez niewidomych.
Odnotowano również usunięcie z GraphicsMagick 1.3.32 funkcji, która mogłaby zostać wykorzystana do spowodowania wycieku danych. Problem dotyczy obsługi notacji „@nazwa pliku” dla formatów SVG i WMF, która umożliwia wyświetlenie tekstu znajdującego się w określonym pliku na wierzchu obrazu lub włączenie go do metadanych. Potencjalnie, jeśli aplikacje internetowe nie posiadają odpowiedniej walidacji parametrów wejściowych, atakujący mogą wykorzystać tę funkcję w celu uzyskania zawartości plików z serwera, na przykład kluczy dostępu i zapisanych haseł. Problem pojawia się także w ImageMagick.
Źródło: opennet.ru