Totalt, sedan februari 2018, har OSS-Fuzz identifierat 343 problem, varav 331 redan har fixats i GraphicsMagick (för de återstående 12 har 90-dagars fixperioden ännu inte löpt ut). Separat
Utöver potentiella problem som identifierats av OSS-Fuzz-projektet, adresserar GraphicsMagick 1.3.32 också 14 buffertspillsårbarheter vid bearbetning av speciellt utformade bilder i SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF och XWD. Icke-säkerhetsförbättringar inkluderar utökat stöd för WebP och möjligheten att spela in bilder i punktskriftsformat för visning av blinda.
Också noterat är borttagningen från GraphicsMagick 1.3.32 av en funktion som kan användas för att orsaka en dataläcka. Problemet gäller hanteringen av notationen "@filename" för SVG- och WMF-format, vilket gör att text som finns i den angivna filen kan visas ovanpå bilden eller inkluderas i metadata. Om webbapplikationer inte har korrekt validering av inmatningsparametrar, kan angripare eventuellt använda den här funktionen för att hämta innehållet i filer från servern, till exempel åtkomstnycklar och sparade lösenord. Problemet dyker också upp i ImageMagick.
Källa: opennet.ru