โดยรวมแล้วตั้งแต่เดือนกุมภาพันธ์ 2018 OSS-Fuzz ได้ระบุปัญหา 343 ปัญหา โดย 331 ปัญหาได้รับการแก้ไขแล้วใน GraphicsMagick (สำหรับ 12 ที่เหลือ ช่วงเวลาแก้ไข 90 วันยังไม่หมดอายุ) แยกกัน
นอกเหนือจากปัญหาที่อาจเกิดขึ้นที่ระบุโดยโครงการ OSS-Fuzz แล้ว GraphicsMagick 1.3.32 ยังระบุช่องโหว่บัฟเฟอร์ล้น 14 รายการเมื่อประมวลผลรูปภาพที่มีสไตล์พิเศษใน SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF และ XWD การปรับปรุงที่ไม่เกี่ยวกับความปลอดภัย ได้แก่ การสนับสนุนเพิ่มเติมสำหรับ WebP และความสามารถในการบันทึกภาพในรูปแบบอักษรเบรลล์เพื่อให้คนตาบอดดูได้
ข้อสังเกตอีกประการหนึ่งคือการลบฟีเจอร์ที่สามารถใช้เพื่อทำให้ข้อมูลรั่วไหลออกจาก GraphicsMagick 1.3.32 ปัญหานี้เกี่ยวข้องกับการจัดการสัญลักษณ์ “@filename” สำหรับรูปแบบ SVG และ WMF ซึ่งอนุญาตให้ข้อความที่มีอยู่ในไฟล์ที่ระบุแสดงที่ด้านบนของภาพหรือรวมอยู่ในเมตาดาต้า อาจเป็นไปได้ว่าหากเว็บแอปพลิเคชันไม่มีการตรวจสอบความถูกต้องของพารามิเตอร์อินพุต ผู้โจมตีสามารถใช้คุณสมบัตินี้เพื่อรับเนื้อหาของไฟล์จากเซิร์ฟเวอร์ เช่น คีย์การเข้าถึงและรหัสผ่านที่บันทึกไว้ ปัญหายังปรากฏใน ImageMagick
ที่มา: opennet.ru