release anyar pakét pikeun ngolah jeung konversi gambar
, anu ngaleungitkeun 52 kerentanan poténsial anu diidentipikasi nalika uji fuzzing ku proyék éta .
Dina total, saprak Pébruari 2018, OSS-Fuzz geus ngaidentipikasi 343 masalah, nu 331 geus dibereskeun dina GraphicsMagick (pikeun 12 sésana, periode fix 90 poé teu acan kadaluwarsa). Papisah
yén OSS-Fuzz ogé dipaké pikeun pariksa proyék patali , di mana leuwih ti 100 masalah ayeuna tetep unresolved, informasi ngeunaan nu geus sadia umum sanggeus waktu koreksi geus kadaluwarsa.
Salian masalah poténsial anu diidentipikasi ku proyék OSS-Fuzz, GraphicsMagick 1.3.32 ogé alamat 14 kerentanan overflow buffer nalika ngolah gambar gaya khusus dina SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF jeung XWD. Perbaikan non-kaamanan kaasup rojongan dimekarkeun pikeun WebP jeung kamampuhan pikeun ngarekam gambar dina format Braille pikeun nempo ku buta.
Ogé dicatet nyaéta ngaleupaskeun tina GraphicsMagick 1.3.32 fitur anu bisa dipaké pikeun ngabalukarkeun bocor data. Masalahna ngeunaan penanganan notasi "@filename" kanggo format SVG sareng WMF, anu ngamungkinkeun téks anu aya dina file anu ditangtukeun pikeun ditampilkeun di luhur gambar atanapi kalebet kana metadata. Berpotensi, upami aplikasi wéb henteu gaduh validasi parameter input anu leres, panyerang tiasa nganggo fitur ieu pikeun kéngingkeun eusi file tina server, contona, aksés konci sareng kecap akses anu disimpen. Masalahna ogé muncul dina ImageMagick.
sumber: opennet.ru