Обновление GraphicsMagick 1.3.32 с устранением уязвимостей
Представлен новый выпуск пакета для обработки и преобразования изображений GraphicsMagick 1.3.32, в котором устранены 52 потенциальные уязвимости, выявленные в ходе fuzzing-тестирования проектом OSS-Fuzz. Всего с февраля 2018 года при помощи OSS-Fuzz было выявилено 343 проблемы, из которых 331 уже устранена в GraphicsMagick. Отдельно отмечается, что OSS-Fuzz также используется для проверки смежного проекта ImageMagick, в котором в настоящее время остаются неустранёнными более 100 проблем, информация о которых уже доступна публично после истечения времени на исправлением.
Кроме потенциальных проблем, выявленных проектом OSS-Fuzz, в GraphicsMagick 1.3.32 также устранено более 10 уязвимостей, которые могут привести к переполнению буфера при обработке специально оформленных изображений в форматах SVG, BMP, DIB, MIFF, MAT, MNG, TGA, TIFF, WMF и XWD. Из не связанных с безопасностью улучшений выделяется расширение поддержки WebP и возможность записи изображений в формате Braille для просмотра незрячими.
Также отмечается удаление из GraphicsMagick 1.3.32 возможности, которая может использоваться для организации утечки данных. Проблема касается обработки нотации »@имяфайла» для форматов SVG и WMF, позволяющей вывести поверх изображения или включить в состав метаданных текст, присутствующий в указанном файле. Потенциально при отсутствии в web-приложениях должной проверки входных параметров атакующие могут воспользоваться данной функцией для получения содержимого файлов с сервера, например, ключей доступа и сохранённых паролей. Проблема также проявляется в ImageMagick.
© OpenNet