nova izdaja paketa za obdelavo in pretvorbo slik
, ki odpravlja 52 potencialnih ranljivosti, odkritih med testiranjem fuzzinga v projektu .
Skupaj je OSS-Fuzz od februarja 2018 identificiral 343 težav, od katerih je bilo 331 že odpravljenih v GraphicsMagick (za preostalih 12 90-dnevno obdobje popravkov še ni poteklo). Ločeno
da se OSS-Fuzz uporablja tudi za preverjanje povezanega projekta , v katerem trenutno ostaja nerešenih več kot 100 problemov, podatki o katerih so po izteku časa za popravek že javno dostopni.
Poleg morebitnih težav, ki jih je odkril projekt OSS-Fuzz, GraphicsMagick 1.3.32 obravnava tudi 14 ranljivosti prekoračitve medpomnilnika pri obdelavi posebej stiliziranih slik v SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF in XWD. Izboljšave, ki niso povezane z varnostjo, vključujejo razširjeno podporo za WebP in možnost snemanja slik v Braillovi pisavi za ogled slepim.
Opažena je tudi odstranitev funkcije iz GraphicsMagick 1.3.32, ki bi lahko povzročila uhajanje podatkov. Težava se nanaša na ravnanje z zapisom »@filename« za formata SVG in WMF, ki omogoča, da je besedilo, ki je prisotno v navedeni datoteki, prikazano na vrhu slike ali vključeno v metapodatke. Če spletne aplikacije nimajo ustreznega preverjanja vhodnih parametrov, lahko napadalci to funkcijo uporabijo za pridobitev vsebine datotek s strežnika, na primer ključev za dostop in shranjenih gesel. Težava se pojavi tudi v ImageMagick.
Vir: opennet.ru