امیج پروسیسنگ اور تبادلوں کے لیے ایک پیکیج کی نئی ریلیز
، جو پروجیکٹ کے ذریعے فزنگ ٹیسٹنگ کے دوران شناخت کی گئی 52 ممکنہ کمزوریوں کو ختم کرتا ہے۔ .
مجموعی طور پر، فروری 2018 سے، OSS-Fuzz نے 343 مسائل کی نشاندہی کی ہے، جن میں سے 331 کو GraphicsMagick میں پہلے ہی طے کیا جا چکا ہے (باقی 12 کے لیے، 90 دن کی فکس مدت ابھی ختم نہیں ہوئی ہے)۔ الگ الگ
کہ OSS-Fuzz بھی متعلقہ پروجیکٹ کو چیک کرنے کے لیے استعمال کیا جاتا ہے۔ ، جس میں فی الحال 100 سے زیادہ مسائل حل طلب ہیں، جن کے بارے میں معلومات پہلے سے ہی تصحیح کا وقت ختم ہونے کے بعد عوامی طور پر دستیاب ہے۔
OSS-Fuzz پروجیکٹ کے ذریعے شناخت کیے جانے والے ممکنہ مسائل کے علاوہ، GraphicsMagick 1.3.32 SVG، BMP، DIB، MIFF، MAT، MNG، TGA، میں خصوصی طور پر اسٹائل کردہ تصاویر پر کارروائی کرتے وقت 14 بفر اوور فلو خطرات کو بھی دور کرتا ہے۔
TIFF، WMF اور XWD۔ غیر حفاظتی بہتریوں میں WebP کے لیے وسیع تعاون اور نابینا افراد کے دیکھنے کے لیے بریل فارمیٹ میں تصاویر ریکارڈ کرنے کی صلاحیت شامل ہے۔
یہ بھی نوٹ کیا گیا ہے کہ GraphicsMagick 1.3.32 سے اس خصوصیت کو ہٹانا ہے جو ڈیٹا لیک ہونے کا سبب بن سکتا ہے۔ مسئلہ SVG اور WMF فارمیٹس کے لیے "@filename" اشارے کو سنبھالنے سے متعلق ہے، جو مخصوص فائل میں موجود متن کو تصویر کے اوپر ظاہر کرنے یا میٹا ڈیٹا میں شامل کرنے کی اجازت دیتا ہے۔ ممکنہ طور پر، اگر ویب ایپلیکیشنز میں ان پٹ پیرامیٹرز کی درست توثیق نہیں ہوتی ہے، تو حملہ آور اس خصوصیت کو سرور سے فائلوں کے مواد کو حاصل کرنے کے لیے استعمال کر سکتے ہیں، مثال کے طور پر رسائی کیز اور محفوظ کردہ پاس ورڈز۔ امیج میجک میں بھی مسئلہ ظاہر ہوتا ہے۔
ماخذ: opennet.ru