tasvirni qayta ishlash va konvertatsiya qilish uchun paketning yangi versiyasi
, bu loyiha tomonidan fuzzing testi paytida aniqlangan 52 ta potentsial zaiflikni yo'q qiladi .
Hammasi bo'lib, 2018 yil fevral oyidan beri OSS-Fuzz 343 ta muammoni aniqladi, ulardan 331 tasi GraphicsMagick-da tuzatilgan (qolgan 12 tasi uchun 90 kunlik tuzatish muddati hali tugamagan). Alohida
OSS-Fuzz ham tegishli loyihani tekshirish uchun ishlatiladi , ularda hozirda 100 dan ortiq muammolar hal etilmagan bo'lib, ular haqida ma'lumot tuzatish muddati tugaganidan keyin allaqachon ommaga ochiq.
OSS-Fuzz loyihasi tomonidan aniqlangan potentsial muammolarga qo'shimcha ravishda, GraphicsMagick 1.3.32 shuningdek, SVG, BMP, DIB, MIFF, MAT, MNG, TGA,
TIFF, WMF va XWD. Xavfsizlik bilan bog'liq bo'lmagan yaxshilanishlar orasida WebP uchun kengaytirilgan qo'llab-quvvatlash va ko'rlar tomonidan ko'rish uchun Brayl formatida tasvirlarni yozib olish imkoniyati mavjud.
Shuningdek, GraphicsMagick 1.3.32 dan ma’lumotlar sizib chiqishiga sabab bo‘lishi mumkin bo‘lgan funksiya olib tashlanganligi ham qayd etilgan. Muammo SVG va WMF formatlari uchun "@filename" belgisi bilan ishlashga tegishli bo'lib, bu ko'rsatilgan faylda mavjud bo'lgan matnni tasvirning tepasida ko'rsatish yoki metama'lumotlarga qo'shish imkonini beradi. Agar veb-ilovalar kiritish parametrlarini to'g'ri tekshirishga ega bo'lmasa, tajovuzkorlar serverdan fayllar tarkibini, masalan, kirish kalitlari va saqlangan parollarni olish uchun ushbu xususiyatdan foydalanishlari mumkin. Muammo ImageMagick-da ham paydo bo'ladi.
Manba: opennet.ru