تصويري پروسيسنگ ۽ تبديلي لاءِ پيڪيج جو نئون رليز
، جيڪو پروجيڪٽ پاران فزنگ ٽيسٽنگ دوران سڃاڻپ ٿيل 52 امڪاني ڪمزورين کي ختم ڪري ٿو .
مجموعي طور تي، فيبروري 2018 کان وٺي، OSS-Fuzz 343 مسئلن جي نشاندهي ڪئي آهي، جن مان 331 اڳ ۾ ئي مقرر ڪيا ويا آهن GraphicsMagick (باقي 12 لاء، 90-ڏينهن جي فيڪس جي مدت اڃا تائين ختم نه ڪئي وئي آهي). الڳ الڳ
اهو OSS-Fuzz پڻ استعمال ڪيو ويندو آهي لاڳاپيل منصوبي کي چيڪ ڪرڻ لاء , جن ۾ 100 کان وڌيڪ مسئلا في الحال حل ٿيل نه آهن، جن بابت معلومات اڳ ۾ ئي عوامي طور تي دستياب آهي، اصلاح جو وقت ختم ٿيڻ کان پوء.
OSS-Fuzz پروجيڪٽ پاران نشاندهي ڪيل امڪاني مسئلن کان علاوه، GraphicsMagick 1.3.32 پڻ 14 بفر اوور فلو خطرات کي حل ڪري ٿو جڏهن SVG، BMP، DIB، MIFF، MAT، MNG، TGA، ۾ خاص طور تي اسٽائل ٿيل تصويرن کي پروسيس ڪندي.
TIFF، WMF ۽ XWD. غير حفاظتي سڌارن ۾ شامل آهن WebP لاءِ وڌايل مدد ۽ تصويرن کي بريل فارميٽ ۾ رڪارڊ ڪرڻ جي صلاحيت انڌين کي ڏسڻ لاءِ.
اهو پڻ نوٽ ڪيو ويو آهي GraphicsMagick 1.3.32 مان هٽائڻ هڪ خاصيت جي جيڪا ڊيٽا ليڪ ٿيڻ لاءِ استعمال ٿي سگهي ٿي. مسئلو SVG ۽ WMF فارميٽس لاءِ “@filename” نوٽشن کي سنڀالڻ جو خدشو آهي، جيڪو متن کي اجازت ڏئي ٿو جيڪو مخصوص فائل ۾ موجود آهي تصوير جي مٿي تي ڏيکاريو وڃي يا ميٽا ڊيٽا ۾ شامل ڪيو وڃي. ممڪن طور تي، جيڪڏهن ويب ايپليڪيشنن وٽ ان پٽ پيٽرولر جي صحيح تصديق نه آهي، حملي ڪندڙ هن خصوصيت کي استعمال ڪري سگھن ٿا فائلن جو مواد حاصل ڪرڻ لاءِ سرور کان، مثال طور، رسائي ڪي ۽ محفوظ ٿيل پاسورڊ. مسئلو پڻ ظاهر ٿئي ٿو ImageMagick ۾.
جو ذريعو: opennet.ru