novo lançamento de um pacote para processamento e conversão de imagens
, que elimina 52 vulnerabilidades potenciais identificadas durante os testes de difusão do projeto .
No total, desde fevereiro de 2018, o OSS-Fuzz identificou 343 problemas, dos quais 331 já foram corrigidos no GraphicsMagick (para os 12 restantes, o período de correção de 90 dias ainda não expirou). Separadamente
que o OSS-Fuzz também é usado para verificar um projeto relacionado , em que mais de 100 problemas permanecem atualmente sem solução, cujas informações já estão disponíveis publicamente após o término do prazo para correção.
Além dos possíveis problemas identificados pelo projeto OSS-Fuzz o GraphicsMagick 1.3.32 também aborda 14 vulnerabilidades de buffer overflow ao processar imagens com estilo especial em SVG BMP DIB MIFF MAT MNG TGA
TIFF, WMF e XWD. As melhorias não relacionadas à segurança incluem suporte expandido para WebP e a capacidade de gravar imagens em formato Braille para visualização por cegos.
Também foi observada a remoção do GraphicsMagick 1.3.32 de um recurso que poderia ser usado para causar vazamento de dados. O problema diz respeito ao tratamento da notação “@filename” para formatos SVG e WMF, que permite que o texto presente no arquivo especificado seja exibido no topo da imagem ou incluído nos metadados. Potencialmente, se as aplicações web não tiverem a validação adequada dos parâmetros de entrada, os invasores poderão usar esse recurso para obter o conteúdo dos arquivos do servidor, por exemplo, chaves de acesso e senhas salvas. O problema também aparece no ImageMagick.
Fonte: opennet.ru