د عکس پروسس کولو او تبادلې لپاره د کڅوړې نوې خپرونه
، کوم چې د پروژې لخوا د فز کولو ازموینې پرمهال پیژندل شوي 52 احتمالي زیانونه له مینځه وړي .
په مجموع کې، د فبروري 2018 راهیسې، OSS-Fuzz 343 ستونزې پیژندلي، چې 331 یې لا دمخه په GraphicsMagick کې حل شوي دي (د پاتې 12 لپاره، د 90 ورځو فکس موده لا پای ته نه ده رسیدلې). په جلا توګه
چې OSS-Fuzz د اړوندې پروژې د کتلو لپاره هم کارول کیږي ، په کوم کې چې اوس مهال له 100 څخه ډیر ستونزې حل شوي ندي ، د هغې په اړه معلومات دمخه د سمون لپاره وخت پای ته رسیدو وروسته په عامه توګه شتون لري.
د OSS-Fuzz پروژې لخوا پیژندل شوي احتمالي مسلو سربیره، GraphicsMagick 1.3.32 د 14 بفر اوور فلو زیانونه هم په ګوته کوي کله چې په SVG، BMP، DIB، MIFF، MAT، MNG، TGA، کې ځانګړي سټایل شوي عکسونه پروسس کوي.
TIFF، WMF او XWD. په غیر امنیتي پرمختګونو کې د WebP لپاره پراخ ملاتړ او د ړندو لخوا د لیدو لپاره په بریل بڼه کې د عکسونو ثبتولو وړتیا شامل دي.
همدارنګه یادونه شوې چې د ګرافیک میګیک 1.3.32 څخه د هغه ځانګړتیا لیرې کول دي چې د ډیټا لیک لامل کیدو لپاره کارول کیدی شي. مسله د SVG او WMF فارمیټونو لپاره د "@filename" نوټیشن اداره کولو اندیښنه لري ، کوم چې متن ته اجازه ورکوي چې په ټاکل شوي فایل کې شتون ولري د عکس په سر کې ښودل شي یا په میټاډاټا کې شامل شي. په احتمالي توګه ، که چیرې ویب غوښتنلیکونه د ان پټ پیرامیټونو مناسب اعتبار ونه لري ، برید کونکي کولی شي دا فیچر د سرور څخه د فایلونو مینځپانګې ترلاسه کولو لپاره وکاروي ، د مثال په توګه ، کیلي ته لاسرسی او خوندي شوي پاسورډونه. ستونزه په ImageMagick کې هم ښکاري.
سرچینه: opennet.ru