การเปิดตัวแพ็คเกจการประมวลผลและการแปลงภาพใหม่
ซึ่งกำจัดช่องโหว่ที่อาจเกิดขึ้น 52 รายการที่ระบุระหว่างการทดสอบฟัซซิ่งโดยโครงการ .
ตั้งแต่เดือนกุมภาพันธ์ 2018 OSS-Fuzz ได้ระบุปัญหา 343 ปัญหา โดย 331 ปัญหาได้รับการแก้ไขแล้วใน GraphicsMagick (อีก 12 ปัญหาที่เหลือยังอยู่ในช่วงเวลาแก้ไข 90 วัน)
OSS-Fuzz ยังใช้เพื่อทดสอบโครงการที่เกี่ยวข้องด้วย ซึ่งปัจจุบันมีปัญหาที่ยังไม่ได้รับการแก้ไขมากกว่า 100 เรื่อง โดยข้อมูลดังกล่าวเปิดเผยต่อสาธารณะแล้วหลังจากหมดเวลาการแก้ไขแล้ว
นอกเหนือจากปัญหาที่อาจเกิดขึ้นที่ระบุโดยโครงการ OSS-Fuzz แล้ว GraphicsMagick 1.3.32 ยังแก้ไขช่องโหว่ 14 ช่องที่อาจทำให้เกิดบัฟเฟอร์ล้นเมื่อประมวลผลรูปภาพที่สร้างขึ้นเป็นพิเศษในรูปแบบ SVG, BMP, DIB, MIFF, MAT, MNG, TGA อีกด้วย
TIFF, WMF และ XWD การปรับปรุงที่ไม่เกี่ยวกับความปลอดภัย ได้แก่ การขยายการรองรับ WebP และความสามารถในการบันทึกภาพในรูปแบบอักษรเบรลล์เพื่อให้ผู้พิการทางสายตาสามารถรับชมได้
ฟีเจอร์ที่อาจใช้รั่วไหลข้อมูลได้ถูกนำออกจาก GraphicsMagick 1.3.32 ปัญหานี้เกี่ยวข้องกับการจัดการสัญลักษณ์ "@filename" สำหรับรูปแบบ SVG และ WMF ซึ่งทำให้ข้อความที่อยู่ในไฟล์ที่ระบุสามารถซ้อนทับหรือรวมอยู่ในข้อมูลเมตาได้ หากเว็บแอปพลิเคชันไม่ตรวจสอบพารามิเตอร์อินพุตอย่างถูกต้อง ผู้โจมตีอาจใช้ประโยชน์จากฟีเจอร์นี้เพื่อดึงเนื้อหาไฟล์จากเซิร์ฟเวอร์ เช่น คีย์การเข้าถึงและรหัสผ่านที่บันทึกไว้ ปัญหานี้ยังส่งผลกระทบต่อ ImageMagick ด้วย
ที่มา: opennet.ru
