แพ็คเกจใหม่สำหรับการประมวลผลและการแปลงภาพ
ซึ่งกำจัดช่องโหว่ที่อาจเกิดขึ้น 52 รายการที่ระบุระหว่างการทดสอบแบบคลุมเครือโดยโครงการ .
โดยรวมแล้วตั้งแต่เดือนกุมภาพันธ์ 2018 OSS-Fuzz ได้ระบุปัญหา 343 ปัญหา โดย 331 ปัญหาได้รับการแก้ไขแล้วใน GraphicsMagick (สำหรับ 12 ที่เหลือ ช่วงเวลาแก้ไข 90 วันยังไม่หมดอายุ) แยกกัน
OSS-Fuzz นั้นยังใช้เพื่อตรวจสอบโปรเจ็กต์ที่เกี่ยวข้องด้วย ซึ่งปัญหามากกว่า 100 ปัญหาในปัจจุบันยังไม่ได้รับการแก้ไข ข้อมูลดังกล่าวเปิดเผยต่อสาธารณะแล้วหลังจากหมดเวลาแก้ไขแล้ว
นอกเหนือจากปัญหาที่อาจเกิดขึ้นที่ระบุโดยโครงการ OSS-Fuzz แล้ว GraphicsMagick 1.3.32 ยังระบุช่องโหว่บัฟเฟอร์ล้น 14 รายการเมื่อประมวลผลรูปภาพที่มีสไตล์พิเศษใน SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF และ XWD การปรับปรุงที่ไม่เกี่ยวกับความปลอดภัย ได้แก่ การสนับสนุนเพิ่มเติมสำหรับ WebP และความสามารถในการบันทึกภาพในรูปแบบอักษรเบรลล์เพื่อให้คนตาบอดดูได้
ข้อสังเกตอีกประการหนึ่งคือการลบฟีเจอร์ที่สามารถใช้เพื่อทำให้ข้อมูลรั่วไหลออกจาก GraphicsMagick 1.3.32 ปัญหานี้เกี่ยวข้องกับการจัดการสัญลักษณ์ “@filename” สำหรับรูปแบบ SVG และ WMF ซึ่งอนุญาตให้ข้อความที่มีอยู่ในไฟล์ที่ระบุแสดงที่ด้านบนของภาพหรือรวมอยู่ในเมตาดาต้า อาจเป็นไปได้ว่าหากเว็บแอปพลิเคชันไม่มีการตรวจสอบความถูกต้องของพารามิเตอร์อินพุต ผู้โจมตีสามารถใช้คุณสมบัตินี้เพื่อรับเนื้อหาของไฟล์จากเซิร์ฟเวอร์ เช่น คีย์การเข้าถึงและรหัสผ่านที่บันทึกไว้ ปัญหายังปรากฏใน ImageMagick
ที่มา: opennet.ru