ఇమేజ్ ప్రాసెసింగ్ మరియు మార్పిడి కోసం ప్యాకేజీ యొక్క కొత్త విడుదల
, ఇది ప్రాజెక్ట్ ద్వారా అస్పష్టమైన పరీక్ష సమయంలో గుర్తించబడిన 52 సంభావ్య దుర్బలత్వాలను తొలగిస్తుంది .
మొత్తంగా, ఫిబ్రవరి 2018 నుండి, OSS-Fuzz 343 సమస్యలను గుర్తించింది, వాటిలో 331 ఇప్పటికే గ్రాఫిక్స్మ్యాజిక్లో పరిష్కరించబడ్డాయి (మిగిలిన 12 కోసం, 90-రోజుల పరిష్కార కాలం ఇంకా ముగియలేదు). విడిగా
సంబంధిత ప్రాజెక్ట్ను తనిఖీ చేయడానికి OSS-Fuzz కూడా ఉపయోగించబడుతుంది , దీనిలో 100 కంటే ఎక్కువ సమస్యలు ప్రస్తుతం పరిష్కరించబడలేదు, దిద్దుబాటు సమయం ముగిసిన తర్వాత వాటి గురించిన సమాచారం ఇప్పటికే పబ్లిక్గా అందుబాటులో ఉంది.
OSS-Fuzz ప్రాజెక్ట్ ద్వారా గుర్తించబడిన సంభావ్య సమస్యలతో పాటు, SVG, BMP, DIB, MIFF, MAT, MNG, TGA, లలో ప్రత్యేకంగా స్టైల్ చేయబడిన చిత్రాలను ప్రాసెస్ చేస్తున్నప్పుడు GraphicsMagick 1.3.32 14 బఫర్ ఓవర్ఫ్లో దుర్బలత్వాలను కూడా పరిష్కరిస్తుంది.
TIFF, WMF మరియు XWD. నాన్-సెక్యూరిటీ మెరుగుదలలలో WebPకి విస్తృత మద్దతు మరియు అంధులు వీక్షించడానికి బ్రెయిలీ ఆకృతిలో చిత్రాలను రికార్డ్ చేసే సామర్థ్యం ఉన్నాయి.
డేటా లీక్కు కారణమయ్యే ఫీచర్ని GraphicsMagick 1.3.32 నుండి తీసివేయడం కూడా గుర్తించబడింది. సమస్య SVG మరియు WMF ఫార్మాట్ల కోసం “@ఫైల్ పేరు” సంజ్ఞామానం యొక్క నిర్వహణకు సంబంధించినది, ఇది పేర్కొన్న ఫైల్లో ఉన్న టెక్స్ట్ను ఇమేజ్ పైన ప్రదర్శించడానికి లేదా మెటాడేటాలో చేర్చడానికి అనుమతిస్తుంది. సంభావ్యంగా, వెబ్ అప్లికేషన్లు ఇన్పుట్ పారామితుల యొక్క సరైన ధృవీకరణను కలిగి ఉండకపోతే, దాడి చేసేవారు సర్వర్ నుండి ఫైల్ల కంటెంట్లను పొందేందుకు ఈ లక్షణాన్ని ఉపయోగించవచ్చు, ఉదాహరణకు, యాక్సెస్ కీలు మరియు సేవ్ చేసిన పాస్వర్డ్లు. సమస్య ఇమేజ్మాజిక్లో కూడా కనిపిస్తుంది.
మూలం: opennet.ru