nové vydanie balíka na spracovanie a konverziu obrazu
, čo eliminuje 52 potenciálnych zraniteľností identifikovaných počas fuzzing testovania projektom .
Celkovo od februára 2018 OSS-Fuzz identifikoval 343 problémov, z ktorých 331 už bolo opravených v GraphicsMagick (pre zvyšných 12 ešte neuplynula 90-dňová lehota na opravu). Oddelene
že OSS-Fuzz sa používa aj na kontrolu súvisiaceho projektu , v ktorej momentálne zostáva nevyriešených viac ako 100 problémov, o ktorých sú informácie už po uplynutí času na nápravu verejne dostupné.
Okrem potenciálnych problémov identifikovaných projektom OSS-Fuzz, GraphicsMagick 1.3.32 tiež rieši 14 zraniteľností pri pretečení vyrovnávacej pamäte pri spracovaní špeciálne upravených obrázkov v SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF a XWD. Medzi vylepšenia nesúvisiace s bezpečnosťou patrí rozšírená podpora pre WebP a možnosť zaznamenávať obrázky vo formáte Braillovho písma na prezeranie pre nevidomých.
Za zmienku stojí aj odstránenie funkcie z GraphicsMagick 1.3.32, ktorá by mohla spôsobiť únik údajov. Problém sa týka spracovania zápisu „@filename“ pre formáty SVG a WMF, ktorý umožňuje, aby sa text, ktorý sa nachádza v špecifikovanom súbore, zobrazil v hornej časti obrázka alebo aby bol zahrnutý do metadát. Ak webové aplikácie nemajú správne overenie vstupných parametrov, útočníci môžu použiť túto funkciu na získanie obsahu súborov zo servera, napríklad prístupové kľúče a uložené heslá. Problém sa objavuje aj v ImageMagick.
Zdroj: opennet.ru