toleo jipya la kifurushi cha usindikaji na ubadilishaji wa picha
, ambayo huondoa udhaifu unaowezekana 52 uliotambuliwa wakati wa majaribio ya fuzzing na mradi .
Kwa jumla, tangu Februari 2018, OSS-Fuzz imetambua matatizo 343, ambayo 331 tayari yamewekwa katika GraphicsMagick (kwa 12 iliyobaki, muda wa kurekebisha siku 90 bado haujaisha). Tofauti
kwamba OSS-Fuzz pia inatumika kuangalia mradi unaohusiana , ambapo zaidi ya matatizo 100 kwa sasa hayajatatuliwa, taarifa kuhusu ambayo tayari inapatikana kwa umma baada ya muda wa kusahihisha kumalizika.
Kando na masuala yanayoweza kutambuliwa na mradi wa OSS-Fuzz, GraphicsMagick 1.3.32 pia hushughulikia athari 14 za kufurika kwa bafa wakati wa kuchakata picha zenye mitindo maalum katika SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF na XWD. Maboresho yasiyo ya usalama yanajumuisha usaidizi uliopanuliwa kwa WebP na uwezo wa kurekodi picha katika umbizo la Braille ili vipofu vionekane.
Pia imebainika ni kuondolewa kutoka kwa GraphicsMagick 1.3.32 ya kipengele ambacho kinaweza kutumika kusababisha uvujaji wa data. Suala hili linahusu kushughulikia nukuu ya "@filename" kwa umbizo la SVG na WMF, ambayo inaruhusu maandishi yaliyo katika faili maalum kuonyeshwa juu ya picha au kujumuishwa kwenye metadata. Kuna uwezekano, ikiwa programu za wavuti hazina uthibitishaji ufaao wa vigezo vya ingizo, wavamizi wanaweza kutumia kipengele hiki kupata maudhui ya faili kutoka kwa seva, kwa mfano, funguo za kufikia na manenosiri yaliyohifadhiwa. Shida pia inaonekana kwenye ImageMagick.
Chanzo: opennet.ru