ny release av ett paket för bildbehandling och konvertering
, som eliminerar 52 potentiella sårbarheter som identifierats under fuzzing-testning av projektet .
Totalt, sedan februari 2018, har OSS-Fuzz identifierat 343 problem, varav 331 redan har fixats i GraphicsMagick (för de återstående 12 har 90-dagars fixperioden ännu inte löpt ut). Separat
att OSS-Fuzz också används för att kontrollera ett relaterat projekt , där mer än 100 problem för närvarande är olösta, information om vilka redan är allmänt tillgänglig efter att tiden för rättelse har löpt ut.
Utöver potentiella problem som identifierats av OSS-Fuzz-projektet, adresserar GraphicsMagick 1.3.32 också 14 buffertspillsårbarheter vid bearbetning av speciellt utformade bilder i SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF och XWD. Icke-säkerhetsförbättringar inkluderar utökat stöd för WebP och möjligheten att spela in bilder i punktskriftsformat för visning av blinda.
Också noterat är borttagningen från GraphicsMagick 1.3.32 av en funktion som kan användas för att orsaka en dataläcka. Problemet gäller hanteringen av notationen "@filename" för SVG- och WMF-format, vilket gör att text som finns i den angivna filen kan visas ovanpå bilden eller inkluderas i metadata. Om webbapplikationer inte har korrekt validering av inmatningsparametrar, kan angripare eventuellt använda den här funktionen för att hämta innehållet i filer från servern, till exempel åtkomstnycklar och sparade lösenord. Problemet dyker också upp i ImageMagick.
Källa: opennet.ru