lëshimi i ri i një pakete për përpunimin dhe konvertimin e imazhit
, i cili eliminon 52 dobësi të mundshme të identifikuara gjatë testimit të fuzzing nga projekti .
Në total, që nga shkurti 2018, OSS-Fuzz ka identifikuar 343 probleme, nga të cilat 331 janë rregulluar tashmë në GraphicsMagick (për 12 të tjerat, periudha 90-ditore e rregullimit nuk ka skaduar ende). Veçmas
se OSS-Fuzz përdoret gjithashtu për të kontrolluar një projekt të lidhur , në të cilën aktualisht mbeten të pazgjidhura më shumë se 100 probleme, informacioni për të cilin tashmë është i disponueshëm publikisht pasi të ketë skaduar koha për korrigjim.
Përveç problemeve të mundshme të identifikuara nga projekti OSS-Fuzz, GraphicsMagick 1.3.32 trajton gjithashtu 14 dobësi të tejmbushjes së buferit kur përpunohen imazhe të stiluara posaçërisht në SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF dhe XWD. Përmirësimet jo të sigurisë përfshijnë mbështetje të zgjeruar për WebP dhe aftësinë për të regjistruar imazhe në formatin Braille për t'u parë nga të verbrit.
Gjithashtu vihet re heqja nga GraphicsMagick 1.3.32 e një veçorie që mund të përdoret për të shkaktuar një rrjedhje të dhënash. Çështja ka të bëjë me trajtimin e shënimit "@filename" për formatet SVG dhe WMF, i cili lejon që teksti që është i pranishëm në skedarin e specifikuar të shfaqet në krye të imazhit ose të përfshihet në meta të dhënat. Potencialisht, nëse aplikacionet në ueb nuk kanë vërtetimin e duhur të parametrave të hyrjes, sulmuesit mund ta përdorin këtë veçori për të marrë përmbajtjen e skedarëve nga serveri, për shembull, çelësat e aksesit dhe fjalëkalimet e ruajtura. Problemi shfaqet gjithashtu në ImageMagick.
Burimi: opennet.ru