новий випуск пакету для обробки та перетворення зображень
, в якому усунуто 52 потенційні вразливості, виявлені в ході fuzzing-тестування проектом .
Всього з лютого 2018 року за допомогою OSS-Fuzz було виявлено 343 проблеми, з яких 331 вже усунуто в GraphicsMagick (для 12 поки що не закінчився 90-денний термін, що відводиться на виправлення). Окремо
, що OSS-Fuzz також використовується для перевірки суміжного проекту , в якому в даний час залишаються неусуненими понад 100 проблем, інформація про які вже доступна публічно після закінчення часу на виправлення.
Крім потенційних проблем, виявлених проектом OSS-Fuzz, GraphicsMagick 1.3.32 також усунуто 14 вразливостей, які можуть призвести до переповнення буфера при обробці спеціально оформлених зображень у форматах SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF та XWD. З не пов'язаних з безпекою покращень виділяється розширення підтримки WebP та можливість запису зображень у форматі Braille для перегляду незрячими.
Також відзначається видалення GraphicsMagick 1.3.32 можливості, яка може використовуватися для організації витоку даних. Проблема стосується обробки нотації «@ім'я файлу» для форматів SVG і WMF, що дозволяє вивести поверх зображення або включити до складу метаданих текст, який є у вказаному файлі. Потенційно за відсутності в web-додатках належної перевірки вхідних параметрів атакуючі можуть скористатися цією функцією для отримання вмісту файлів із сервера, наприклад, ключів доступу та збережених паролів. Проблема також проявляється у ImageMagick.
Джерело: opennet.ru