మొత్తంగా, ఫిబ్రవరి 2018 నుండి, OSS-Fuzz 343 సమస్యలను గుర్తించింది, వాటిలో 331 ఇప్పటికే గ్రాఫిక్స్మ్యాజిక్లో పరిష్కరించబడ్డాయి (మిగిలిన 12 కోసం, 90-రోజుల పరిష్కార కాలం ఇంకా ముగియలేదు). విడిగా
OSS-Fuzz ప్రాజెక్ట్ ద్వారా గుర్తించబడిన సంభావ్య సమస్యలతో పాటు, SVG, BMP, DIB, MIFF, MAT, MNG, TGA, లలో ప్రత్యేకంగా స్టైల్ చేయబడిన చిత్రాలను ప్రాసెస్ చేస్తున్నప్పుడు GraphicsMagick 1.3.32 14 బఫర్ ఓవర్ఫ్లో దుర్బలత్వాలను కూడా పరిష్కరిస్తుంది.
TIFF, WMF మరియు XWD. నాన్-సెక్యూరిటీ మెరుగుదలలలో WebPకి విస్తృత మద్దతు మరియు అంధులు వీక్షించడానికి బ్రెయిలీ ఆకృతిలో చిత్రాలను రికార్డ్ చేసే సామర్థ్యం ఉన్నాయి.
డేటా లీక్కు కారణమయ్యే ఫీచర్ని GraphicsMagick 1.3.32 నుండి తీసివేయడం కూడా గుర్తించబడింది. సమస్య SVG మరియు WMF ఫార్మాట్ల కోసం “@ఫైల్ పేరు” సంజ్ఞామానం యొక్క నిర్వహణకు సంబంధించినది, ఇది పేర్కొన్న ఫైల్లో ఉన్న టెక్స్ట్ను ఇమేజ్ పైన ప్రదర్శించడానికి లేదా మెటాడేటాలో చేర్చడానికి అనుమతిస్తుంది. సంభావ్యంగా, వెబ్ అప్లికేషన్లు ఇన్పుట్ పారామితుల యొక్క సరైన ధృవీకరణను కలిగి ఉండకపోతే, దాడి చేసేవారు సర్వర్ నుండి ఫైల్ల కంటెంట్లను పొందేందుకు ఈ లక్షణాన్ని ఉపయోగించవచ్చు, ఉదాహరణకు, యాక్సెస్ కీలు మరియు సేవ్ చేసిన పాస్వర్డ్లు. సమస్య ఇమేజ్మాజిక్లో కూడా కనిపిస్తుంది.
మూలం: opennet.ru