bagong release ng isang package para sa pagpoproseso at conversion ng imahe
, na nag-aalis ng 52 potensyal na kahinaan na natukoy sa panahon ng malabong pagsubok ng proyekto .
Sa kabuuan, mula noong Pebrero 2018, natukoy ng OSS-Fuzz ang 343 mga problema, kung saan 331 ay naayos na sa GraphicsMagick (para sa natitirang 12, ang 90-araw na panahon ng pag-aayos ay hindi pa nag-e-expire). Hiwalay
na ang OSS-Fuzz ay ginagamit din upang suriin ang isang kaugnay na proyekto , kung saan higit sa 100 mga problema ang kasalukuyang nananatiling hindi nalutas, ang impormasyon tungkol sa kung saan ay magagamit na sa publiko pagkatapos ng oras para sa pagwawasto ay nag-expire.
Bilang karagdagan sa mga potensyal na isyu na tinukoy ng proyekto ng OSS-Fuzz, tinutugunan din ng GraphicsMagick 1.3.32 ang 14 na mga kahinaan sa buffer overflow kapag nagpoproseso ng mga espesyal na istilong larawan sa SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF at XWD. Kasama sa mga hindi pangseguridad na pagpapabuti ang pinalawak na suporta para sa WebP at ang kakayahang mag-record ng mga larawan sa Braille na format para sa pagtingin ng mga bulag.
Napansin din ang pag-alis mula sa GraphicsMagick 1.3.32 ng isang tampok na maaaring magamit upang maging sanhi ng pagtagas ng data. Ang isyu ay may kinalaman sa pangangasiwa ng “@filename” notation para sa SVG at WMF na mga format, na nagbibigay-daan sa text na nasa tinukoy na file na maipakita sa itaas ng larawan o kasama sa metadata. Posible, kung ang mga web application ay walang wastong pagpapatunay ng mga parameter ng pag-input, maaaring gamitin ng mga umaatake ang tampok na ito upang makuha ang mga nilalaman ng mga file mula sa server, halimbawa, mga access key at mga naka-save na password. Lumilitaw din ang problema sa ImageMagick.
Pinagmulan: opennet.ru