nova izdaja paketa za obdelavo in transformacijo slik
, ki je odpravil 52 potencialnih ranljivosti, odkritih med testiranjem fuzzinga v okviru projekta .
Od februarja 2018 je OSS-Fuzz odkril 343 težav, od katerih jih je bilo 331 v GraphicsMagick že odpravljenih (preostalih 12 je še vedno v 90-dnevnem obdobju za odpravo).
, da se OSS-Fuzz uporablja tudi za testiranje sorodnega projekta , ki ima trenutno več kot 100 nerešenih vprašanj, o katerih so informacije po izteku roka za popravek že javno dostopne.
Poleg morebitnih težav, ki jih je odkril projekt OSS-Fuzz, GraphicsMagick 1.3.32 odpravlja tudi 14 ranljivosti, ki bi lahko povzročile preobremenitev medpomnilnika pri obdelavi posebej izdelanih slik v formatih SVG, BMP, DIB, MIFF, MAT, MNG in TGA.
TIFF, WMF in XWD. Izboljšave, ki niso povezane z varnostjo, vključujejo razširjeno podporo za WebP in možnost shranjevanja slik v Braillovi pisavi za ogled slepim.
Iz GraphicsMagick 1.3.32 je bila odstranjena tudi funkcija, ki bi jo bilo mogoče uporabiti za uhajanje podatkov. Težava se nanaša na obravnavo zapisa »@filename« za formate SVG in WMF, ki omogoča, da se besedilo, prisotno v določeni datoteki, prekrije ali vključi v metapodatke. Če spletne aplikacije ne preverijo pravilno vhodnih parametrov, bi lahko napadalci to funkcijo izkoristili za pridobitev vsebine datoteke s strežnika, kot so ključi za dostop in shranjena gesla. Težava vpliva tudi na ImageMagick.
Vir: opennet.ru
