noua versiune a unui pachet pentru procesarea și conversia imaginilor
, care elimină 52 de vulnerabilități potențiale identificate în timpul testării fuzzing de către proiect .
În total, din februarie 2018, OSS-Fuzz a identificat 343 de probleme, dintre care 331 au fost deja remediate în GraphicsMagick (pentru restul de 12, perioada de remediere de 90 de zile nu a expirat încă). Separat
că OSS-Fuzz este folosit și pentru a verifica un proiect înrudit , în care mai mult de 100 de probleme rămân în prezent nerezolvate, informații despre care sunt deja disponibile public după expirarea termenului de corectare.
Pe lângă problemele potențiale identificate de proiectul OSS-Fuzz, GraphicsMagick 1.3.32 abordează, de asemenea, 14 vulnerabilități de depășire a memoriei tampon atunci când procesează imagini cu stil special în SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF și XWD. Îmbunătățirile care nu sunt legate de securitate includ suport extins pentru WebP și capacitatea de a înregistra imagini în format Braille pentru vizualizare de către nevăzători.
De asemenea, este remarcată eliminarea din GraphicsMagick 1.3.32 a unei caracteristici care ar putea fi utilizată pentru a provoca o scurgere de date. Problema se referă la gestionarea notației „@filename” pentru formatele SVG și WMF, care permite ca textul care este prezent în fișierul specificat să fie afișat deasupra imaginii sau inclus în metadate. Potenţial, dacă aplicaţiile web nu au validarea adecvată a parametrilor de intrare, atacatorii pot folosi această caracteristică pentru a obţine conţinutul fişierelor de pe server, de exemplu, chei de acces şi parole salvate. Problema apare și în ImageMagick.
Sursa: opennet.ru