OSS-Fuzz, Şubat 2018'den bu yana toplamda 343 sorun tespit etti ve bunların 331'i GraphicsMagick'te düzeltildi (kalan 12'si için 90 günlük düzeltme süresi henüz dolmadı). Ayrı ayrı
OSS-Fuzz projesi tarafından tanımlanan potansiyel sorunlara ek olarak GraphicsMagick 1.3.32 ayrıca SVG, BMP, DIB, MIFF, MAT, MNG, TGA'da özel olarak tasarlanmış görüntüleri işlerken 14 arabellek taşması güvenlik açığını da giderir.
TIFF, WMF ve XWD. Güvenlikle ilgili olmayan iyileştirmeler arasında WebP için genişletilmiş destek ve körlerin görebilmesi için görüntüleri Braille formatında kaydetme yeteneği yer alıyor.
Ayrıca veri sızıntısına neden olabilecek bir özelliğin GraphicsMagick 1.3.32'den kaldırıldığı da belirtildi. Sorun, belirtilen dosyada bulunan metnin görüntünün üstünde görüntülenmesine veya meta verilere dahil edilmesine olanak tanıyan SVG ve WMF formatları için "@dosyaadı" gösteriminin işlenmesiyle ilgilidir. Potansiyel olarak, web uygulamaları giriş parametrelerinin doğru şekilde doğrulanmasına sahip değilse, saldırganlar bu özelliği sunucudaki dosyaların içeriğini (örneğin, erişim anahtarları ve kayıtlı şifreler) elde etmek için kullanabilir. Sorun ImageMagick'te de görünüyor.
Kaynak: opennet.ru