]> git.saurik.com Git - wxWidgets.git/blobdiff - src/common/gifdecod.cpp
typo: PrintfInLogBug() was probably supposed to be called PrintfInLogBuf()
[wxWidgets.git] / src / common / gifdecod.cpp
index 828afb82c8e864ac7c115a3c29499e905205b97e..4b3e6ddc87660a5747cff14f5c4e03d3fc38e6b3 100644 (file)
@@ -1,5 +1,5 @@
 /////////////////////////////////////////////////////////////////////////////
 /////////////////////////////////////////////////////////////////////////////
-// Name:        gifdecod.cpp
+// Name:        src/common/gifdecod.cpp
 // Purpose:     wxGIFDecoder, GIF reader for wxImage and wxAnimation
 // Author:      Guillermo Rodriguez Garcia <guille@iies.es>
 // Version:     3.04
 // Purpose:     wxGIFDecoder, GIF reader for wxImage and wxAnimation
 // Author:      Guillermo Rodriguez Garcia <guille@iies.es>
 // Version:     3.04
@@ -8,28 +8,42 @@
 // Licence:     wxWindows licence
 /////////////////////////////////////////////////////////////////////////////
 
 // Licence:     wxWindows licence
 /////////////////////////////////////////////////////////////////////////////
 
-#ifdef __GNUG__
-#pragma implementation "gifdecod.h"
-#endif
-
 // For compilers that support precompilation, includes "wx.h".
 #include "wx/wxprec.h"
 
 #ifdef __BORLANDC__
 // For compilers that support precompilation, includes "wx.h".
 #include "wx/wxprec.h"
 
 #ifdef __BORLANDC__
-#  pragma hdrstop
+    #pragma hdrstop
 #endif
 
 #endif
 
+#if wxUSE_STREAMS && wxUSE_GIF
+
 #ifndef WX_PRECOMP
 #ifndef WX_PRECOMP
-#  include "wx/defs.h"
+    #include "wx/palette.h"
 #endif
 
 #endif
 
-#if wxUSE_STREAMS && wxUSE_GIF
-
 #include <stdlib.h>
 #include <string.h>
 #include "wx/gifdecod.h"
 
 
 #include <stdlib.h>
 #include <string.h>
 #include "wx/gifdecod.h"
 
 
+//---------------------------------------------------------------------------
+// GIFImage constructor
+//---------------------------------------------------------------------------
+GIFImage::GIFImage()
+{
+    w = 0;
+    h = 0;
+    left = 0;
+    top = 0;
+    transparent = 0;
+    disposal = 0;
+    delay = -1;
+    p = (unsigned char *) NULL;
+    pal = (unsigned char *) NULL;
+    next = (GIFImage *) NULL;
+    prev = (GIFImage *) NULL;
+}
+
 //---------------------------------------------------------------------------
 // wxGIFDecoder constructor and destructor
 //---------------------------------------------------------------------------
 //---------------------------------------------------------------------------
 // wxGIFDecoder constructor and destructor
 //---------------------------------------------------------------------------
@@ -97,7 +111,7 @@ bool wxGIFDecoder::ConvertToImage(wxImage *image) const
     image->Create(GetWidth(), GetHeight());
 
     if (!image->Ok())
     image->Create(GetWidth(), GetHeight());
 
     if (!image->Ok())
-        return FALSE;
+        return false;
 
     pal = GetPalette();
     src = GetData();
 
     pal = GetPalette();
     src = GetData();
@@ -124,23 +138,23 @@ bool wxGIFDecoder::ConvertToImage(wxImage *image) const
         image->SetMaskColour(255, 0, 255);
     }
     else
         image->SetMaskColour(255, 0, 255);
     }
     else
-        image->SetMask(FALSE);
+        image->SetMask(false);
+
+#if wxUSE_PALETTE
+    unsigned char r[256];
+    unsigned char g[256];
+    unsigned char b[256];
 
 
-    if (pal)
+    for (i = 0; i < 256; i++)
     {
     {
-        unsigned char* r = new unsigned char[256];
-        unsigned char* g = new unsigned char[256];
-        unsigned char* b = new unsigned char[256];
-        for (i = 0; i < 256; i++)
-        {
-            r[i] = pal[3*i + 0];
-            g[i] = pal[3*i + 1];
-            b[i] = pal[3*i + 2];
-        }
-        image->SetPalette(wxPalette(256, r, g, b));
-        delete[] r; delete[] g; delete[] b;
+        r[i] = pal[3*i + 0];
+        g[i] = pal[3*i + 1];
+        b[i] = pal[3*i + 2];
     }
 
     }
 
+    image->SetPalette(wxPalette(256, r, g, b));
+#endif // wxUSE_PALETTE
+
     /* copy image data */
     for (i = 0; i < (GetWidth() * GetHeight()); i++, src++)
     {
     /* copy image data */
     for (i = 0; i < (GetWidth() * GetHeight()); i++, src++)
     {
@@ -149,7 +163,7 @@ bool wxGIFDecoder::ConvertToImage(wxImage *image) const
         *(dst++) = pal[3 * (*src) + 2];
     }
 
         *(dst++) = pal[3 * (*src) + 2];
     }
 
-    return TRUE;
+    return true;
 }
 
 
 }
 
 
@@ -186,27 +200,27 @@ bool wxGIFDecoder::IsAnimation() const          { return (m_nimages > 1); }
 bool wxGIFDecoder::GoFirstFrame()
 {
     if (!IsAnimation())
 bool wxGIFDecoder::GoFirstFrame()
 {
     if (!IsAnimation())
-        return FALSE;
+        return false;
 
     m_image = 1;
     m_pimage = m_pfirst;
 
     m_image = 1;
     m_pimage = m_pfirst;
-    return TRUE;
+    return true;
 }
 
 bool wxGIFDecoder::GoLastFrame()
 {
     if (!IsAnimation())
 }
 
 bool wxGIFDecoder::GoLastFrame()
 {
     if (!IsAnimation())
-        return FALSE;
+        return false;
 
     m_image = m_nimages;
     m_pimage = m_plast;
 
     m_image = m_nimages;
     m_pimage = m_plast;
-    return TRUE;
+    return true;
 }
 
 bool wxGIFDecoder::GoNextFrame(bool cyclic)
 {
     if (!IsAnimation())
 }
 
 bool wxGIFDecoder::GoNextFrame(bool cyclic)
 {
     if (!IsAnimation())
-        return FALSE;
+        return false;
 
     if ((m_image < m_nimages) || (cyclic))
     {
 
     if ((m_image < m_nimages) || (cyclic))
     {
@@ -219,16 +233,16 @@ bool wxGIFDecoder::GoNextFrame(bool cyclic)
             m_pimage = m_pfirst;
         }
 
             m_pimage = m_pfirst;
         }
 
-        return TRUE;
+        return true;
     }
     else
     }
     else
-        return FALSE;
+        return false;
 }
 
 bool wxGIFDecoder::GoPrevFrame(bool cyclic)
 {
     if (!IsAnimation())
 }
 
 bool wxGIFDecoder::GoPrevFrame(bool cyclic)
 {
     if (!IsAnimation())
-        return FALSE;
+        return false;
 
     if ((m_image > 1) || (cyclic))
     {
 
     if ((m_image > 1) || (cyclic))
     {
@@ -241,30 +255,32 @@ bool wxGIFDecoder::GoPrevFrame(bool cyclic)
             m_pimage = m_plast;
         }
 
             m_pimage = m_plast;
         }
 
-        return TRUE;
+        return true;
     }
     else
     }
     else
-        return FALSE;
+        return false;
 }
 
 bool wxGIFDecoder::GoFrame(int which)
 {
 }
 
 bool wxGIFDecoder::GoFrame(int which)
 {
-    int i;
-
     if (!IsAnimation())
     if (!IsAnimation())
-        return FALSE;
+        return false;
 
     if ((which >= 1) && (which <= m_nimages))
     {
 
     if ((which >= 1) && (which <= m_nimages))
     {
+        m_image = 1;
         m_pimage = m_pfirst;
 
         m_pimage = m_pfirst;
 
-        for (i = 1; i < which; i++)
+        while (m_image < which)
+        {
+            m_image++;
             m_pimage = m_pimage->next;
             m_pimage = m_pimage->next;
+        }
 
 
-        return TRUE;
+        return true;
     }
     else
     }
     else
-        return FALSE;
+        return false;
 }
 
 
 }
 
 
@@ -306,6 +322,11 @@ int wxGIFDecoder::getcode(int bits, int ab_fin)
 
             /* prefetch data */
             m_f->Read((void *) m_buffer, m_restbyte);
 
             /* prefetch data */
             m_f->Read((void *) m_buffer, m_restbyte);
+            if (m_f->LastRead() != m_restbyte)
+            {
+                code = ab_fin;
+                return code;
+            }
             m_bufp = m_buffer;
         }
 
             m_bufp = m_buffer;
         }
 
@@ -329,26 +350,40 @@ int wxGIFDecoder::getcode(int bits, int ab_fin)
 // dgif:
 //  GIF decoding function. The initial code size (aka root size)
 //  is 'bits'. Supports interlaced images (interl == 1).
 // dgif:
 //  GIF decoding function. The initial code size (aka root size)
 //  is 'bits'. Supports interlaced images (interl == 1).
-//
+//  Returns wxGIF_OK (== 0) on success, or an error code if something
+// fails (see header file for details)
 int wxGIFDecoder::dgif(GIFImage *img, int interl, int bits)
 {
 int wxGIFDecoder::dgif(GIFImage *img, int interl, int bits)
 {
-#ifdef __WXMAC__
-    int *ab_prefix = new int[4096];        /* alphabet (prefixes) */
-    int *ab_tail = new int[4096];          /* alphabet (tails) */
-    int *stack = new int[4096];            /* decompression stack */
-#else
-    int ab_prefix[4096];        /* alphabet (prefixes) */
-    int ab_tail[4096];          /* alphabet (tails) */
-    int stack[4096];            /* decompression stack */
-#endif
-    int ab_clr;                 /* clear code */
-    int ab_fin;                 /* end of info code */
-    int ab_bits;                /* actual symbol width, in bits */
-    int ab_free;                /* first free position in alphabet */
-    int ab_max;                 /* last possible character in alphabet */
-    int pass;                   /* pass number in interlaced images */
-    int pos;                    /* index into decompresion stack */
-    unsigned int x, y;          /* position in image buffer */
+    static const int allocSize = 4096 + 1;
+    int *ab_prefix = new int[allocSize]; /* alphabet (prefixes) */
+    if (ab_prefix == NULL)
+    {
+        return wxGIF_MEMERR;
+    }
+
+    int *ab_tail = new int[allocSize];   /* alphabet (tails) */
+    if (ab_tail == NULL)
+    {
+        delete[] ab_prefix;
+        return wxGIF_MEMERR;
+    }
+
+    int *stack = new int[allocSize];     /* decompression stack */
+    if (stack == NULL)
+    {
+        delete[] ab_prefix;
+        delete[] ab_tail;
+        return wxGIF_MEMERR;
+    }
+
+    int ab_clr;                     /* clear code */
+    int ab_fin;                     /* end of info code */
+    int ab_bits;                    /* actual symbol width, in bits */
+    int ab_free;                    /* first free position in alphabet */
+    int ab_max;                     /* last possible character in alphabet */
+    int pass;                       /* pass number in interlaced images */
+    int pos;                        /* index into decompresion stack */
+    unsigned int x, y;              /* position in image buffer */
 
     int code, readcode, lastcode, abcabca;
 
 
     int code, readcode, lastcode, abcabca;
 
@@ -404,13 +439,52 @@ int wxGIFDecoder::dgif(GIFImage *img, int interl, int bits)
         {
             stack[pos++] = ab_tail[code];
             code         = ab_prefix[code];
         {
             stack[pos++] = ab_tail[code];
             code         = ab_prefix[code];
+
+            // Don't overflow. This shouldn't happen with normal
+            // GIF files, the allocSize of 4096+1 is enough. This
+            // will only happen with badly formed GIFs.
+            if (pos >= allocSize)
+            {
+                delete[] ab_prefix;
+                delete[] ab_tail;
+                delete[] stack;
+                return wxGIF_INVFORMAT;
+            }
         }
         }
+
+        if (pos >= allocSize)
+        {
+            delete[] ab_prefix;
+            delete[] ab_tail;
+            delete[] stack;
+            return wxGIF_INVFORMAT;
+        }
+
         stack[pos] = code;              /* push last code into the stack */
         abcabca    = code;              /* save for special case */
 
         /* make new entry in alphabet (only if NOT just cleared) */
         if (lastcode != -1)
         {
         stack[pos] = code;              /* push last code into the stack */
         abcabca    = code;              /* save for special case */
 
         /* make new entry in alphabet (only if NOT just cleared) */
         if (lastcode != -1)
         {
+            // Normally, after the alphabet is full and can't grow any
+            // further (ab_free == 4096), encoder should (must?) emit CLEAR
+            // to reset it. This checks whether we really got it, otherwise
+            // the GIF is damaged.
+            if (ab_free > ab_max)
+            {
+                delete[] ab_prefix;
+                delete[] ab_tail;
+                delete[] stack;
+                return wxGIF_INVFORMAT;
+            }
+
+            // This assert seems unnecessary since the condition above
+            // eliminates the only case in which it went false. But I really
+            // don't like being forced to ask "Who in .text could have
+            // written there?!" And I wouldn't have been forced to ask if
+            // this line had already been here.
+            wxASSERT(ab_free < allocSize);
+
             ab_prefix[ab_free] = lastcode;
             ab_tail[ab_free]   = code;
             ab_free++;
             ab_prefix[ab_free] = lastcode;
             ab_tail[ab_free]   = code;
             ab_free++;
@@ -422,10 +496,11 @@ int wxGIFDecoder::dgif(GIFImage *img, int interl, int bits)
             }
         }
 
             }
         }
 
-        /* dump stack data to the buffer */
+        /* dump stack data to the image buffer */
         while (pos >= 0)
         {
         while (pos >= 0)
         {
-            (img->p)[x + (y * (img->w))] = (char)stack[pos--];
+            (img->p)[x + (y * (img->w))] = (char) stack[pos];
+            pos--;
 
             if (++x >= (img->w))
             {
 
             if (++x >= (img->w))
             {
@@ -441,13 +516,50 @@ int wxGIFDecoder::dgif(GIFImage *img, int interl, int bits)
                         case 3: y += 4; break;
                         case 4: y += 2; break;
                     }
                         case 3: y += 4; break;
                         case 4: y += 2; break;
                     }
-                    if (y >= (img->h))
+
+                    /* loop until a valid y coordinate has been
+                    found, Or if the maximum number of passes has
+                    been reached, exit the loop, and stop image
+                    decoding (At this point the image is successfully
+                    decoded).
+                    If we don't loop, but merely set y to some other
+                    value, that new value might still be invalid depending
+                    on the height of the image. This would cause out of
+                    bounds writing.
+                    */
+                    while (y >= (img->h))
                     {
                         switch (++pass)
                         {
                             case 2: y = 4; break;
                             case 3: y = 2; break;
                             case 4: y = 1; break;
                     {
                         switch (++pass)
                         {
                             case 2: y = 4; break;
                             case 3: y = 2; break;
                             case 4: y = 1; break;
+
+                            default:
+                                /*
+                                It's possible we arrive here. For example this
+                                happens when the image is interlaced, and the
+                                height is 1. Looking at the above cases, the
+                                lowest possible y is 1. While the only valid
+                                one would be 0 for an image of height 1. So
+                                'eventually' the loop will arrive here.
+                                This case makes sure this while loop is
+                                exited, as well as the 2 other ones.
+                                */
+
+                                // Set y to a valid coordinate so the local
+                                // while loop will be exited. (y = 0 always
+                                // is >= img->h since if img->h == 0 the
+                                // image is never decoded)
+                                y = 0;
+
+                                // This will exit the other outer while loop
+                                pos = -1;
+
+                                // This will halt image decoding.
+                                code = ab_fin;
+
+                                break;
                         }
                     }
                 }
                         }
                     }
                 }
@@ -455,6 +567,46 @@ int wxGIFDecoder::dgif(GIFImage *img, int interl, int bits)
                 {
                     /* non-interlaced */
                     y++;
                 {
                     /* non-interlaced */
                     y++;
+/*
+Normally image decoding is finished when an End of Information code is
+encountered (code == ab_fin) however some broken encoders write wrong
+"block byte counts" (The first byte value after the "code size" byte),
+being one value too high. It might very well be possible other variants
+of this problem occur as well. The only sensible solution seems to
+be to check for clipping.
+Example of wrong encoding:
+(1 * 1 B/W image, raster data stream follows in hex bytes)
+
+02  << B/W images have a code size of 2
+02  << Block byte count
+44  << LZW packed
+00  << Zero byte count (terminates data stream)
+
+Because the block byte count is 2, the zero byte count is used in the
+decoding process, and decoding is continued after this byte. (While it
+should signal an end of image)
+
+It should be:
+02
+02
+44
+01  << When decoded this correctly includes the End of Information code
+00
+
+Or (Worse solution):
+02
+01
+44
+00
+(The 44 doesn't include an End of Information code, but at least the
+decoder correctly skips to 00 now after decoding, and signals this
+as an End of Information itself)
+*/
+                    if (y >= img->h)
+                    {
+                        code = ab_fin;
+                        break;
+                    }
                 }
             }
         }
                 }
             }
         }
@@ -464,26 +616,27 @@ int wxGIFDecoder::dgif(GIFImage *img, int interl, int bits)
     }
     while (code != ab_fin);
 
     }
     while (code != ab_fin);
 
-#ifdef __WXMAC__
     delete [] ab_prefix ;
     delete [] ab_tail ;
     delete [] stack ;
     delete [] ab_prefix ;
     delete [] ab_tail ;
     delete [] stack ;
-#endif
-    return 0;
+
+    return wxGIF_OK;
 }
 
 
 // CanRead:
 }
 
 
 // CanRead:
-//  Returns TRUE if the file looks like a valid GIF, FALSE otherwise.
+//  Returns true if the file looks like a valid GIF, false otherwise.
 //
 bool wxGIFDecoder::CanRead()
 {
     unsigned char buf[3];
 
 //
 bool wxGIFDecoder::CanRead()
 {
     unsigned char buf[3];
 
-    m_f->Read(buf, 3);
-    m_f->SeekI(-3, wxFromCurrent);
+    if ( !m_f->Read(buf, WXSIZEOF(buf)) )
+        return false;
 
 
-    return (memcmp(buf, "GIF", 3) == 0);
+    m_f->SeekI(-(wxFileOffset)WXSIZEOF(buf), wxFromCurrent);
+
+    return memcmp(buf, "GIF", WXSIZEOF(buf)) == 0;
 }
 
 
 }
 
 
@@ -498,37 +651,62 @@ bool wxGIFDecoder::CanRead()
 //
 int wxGIFDecoder::ReadGIF()
 {
 //
 int wxGIFDecoder::ReadGIF()
 {
-    int           ncolors, bits, interl, transparent, disposal, i;
+    unsigned int ncolors;
+    int           bits, interl, transparent, disposal, i;
     long          size;
     long          delay;
     unsigned char type = 0;
     unsigned char pal[768];
     unsigned char buf[16];
     GIFImage      **ppimg;
     long          size;
     long          delay;
     unsigned char type = 0;
     unsigned char pal[768];
     unsigned char buf[16];
     GIFImage      **ppimg;
-       GIFImage      *pimg, *pprev;
+    GIFImage      *pimg, *pprev;
 
     /* check GIF signature */
     if (!CanRead())
         return wxGIF_INVFORMAT;
 
     /* check for animated GIF support (ver. >= 89a) */
 
     /* check GIF signature */
     if (!CanRead())
         return wxGIF_INVFORMAT;
 
     /* check for animated GIF support (ver. >= 89a) */
-    m_f->Read(buf, 6);
+
+    static const size_t headerSize = (3 + 3);
+    m_f->Read(buf, headerSize);
+    if (m_f->LastRead() != headerSize)
+    {
+        return wxGIF_INVFORMAT;
+    }
 
     if (memcmp(buf + 3, "89a", 3) < 0)
 
     if (memcmp(buf + 3, "89a", 3) < 0)
-        m_anim = FALSE;
+    {
+        m_anim = false;
+    }
 
     /* read logical screen descriptor block (LSDB) */
 
     /* read logical screen descriptor block (LSDB) */
-    m_f->Read(buf, 7);
+    static const size_t lsdbSize = (2 + 2 + 1 + 1 + 1);
+    m_f->Read(buf, lsdbSize);
+    if (m_f->LastRead() != lsdbSize)
+    {
+        return wxGIF_INVFORMAT;
+    }
+
     m_screenw = buf[0] + 256 * buf[1];
     m_screenh = buf[2] + 256 * buf[3];
 
     m_screenw = buf[0] + 256 * buf[1];
     m_screenh = buf[2] + 256 * buf[3];
 
+    if ((m_screenw == 0) || (m_screenh == 0))
+    {
+        return wxGIF_INVFORMAT;
+    }
+
     /* load global color map if available */
     if ((buf[4] & 0x80) == 0x80)
     {
         m_background = buf[5];
 
         ncolors = 2 << (buf[4] & 0x07);
     /* load global color map if available */
     if ((buf[4] & 0x80) == 0x80)
     {
         m_background = buf[5];
 
         ncolors = 2 << (buf[4] & 0x07);
-        m_f->Read(pal, 3 * ncolors);
+        size_t numBytes = 3 * ncolors;
+        m_f->Read(pal, numBytes);
+        if (m_f->LastRead() != numBytes)
+        {
+            return wxGIF_INVFORMAT;
+        }
     }
 
     /* transparent colour, disposal method and delay default to unused */
     }
 
     /* transparent colour, disposal method and delay default to unused */
@@ -541,16 +719,33 @@ int wxGIFDecoder::ReadGIF()
     pprev = NULL;
     pimg  = NULL;
 
     pprev = NULL;
     pimg  = NULL;
 
-    bool done = FALSE;
+    bool done = false;
 
 
-    while(!done)
+    while (!done)
     {
         type = (unsigned char)m_f->GetC();
 
     {
         type = (unsigned char)m_f->GetC();
 
+        /*
+        If the end of file has been reached (or an error) and a ";"
+        (0x3B) hasn't been encountered yet, exit the loop. (Without this
+        check the while loop would loop endlessly.) Later on, in the next while
+        loop, the file will be treated as being truncated (But still
+        be decoded as far as possible). returning wxGIF_TRUNCATED is not
+        possible here since some init code is done after this loop.
+        */
+        if (m_f->Eof())// || !m_f->IsOk())
+        {
+            /*
+            type is set to some bogus value, so there's no
+            need to continue evaluating it.
+            */
+            break; // Alternative : "return wxGIF_INVFORMAT;"
+        }
+
         /* end of data? */
         if (type == 0x3B)
         {
         /* end of data? */
         if (type == 0x3B)
         {
-            done = TRUE;
+            done = true;
         }
         else
         /* extension block? */
         }
         else
         /* extension block? */
@@ -559,7 +754,13 @@ int wxGIFDecoder::ReadGIF()
             if (((unsigned char)m_f->GetC()) == 0xF9)
             /* graphics control extension, parse it */
             {
             if (((unsigned char)m_f->GetC()) == 0xF9)
             /* graphics control extension, parse it */
             {
-                m_f->Read(buf, 6);
+                static const size_t gceSize = 6;
+                m_f->Read(buf, gceSize);
+                if (m_f->LastRead() != gceSize)
+                {
+                    Destroy();
+                    return wxGIF_INVFORMAT;
+                }
 
                 /* read delay and convert from 1/100 of a second to ms */
                 delay = 10 * (buf[2] + 256 * buf[3]);
 
                 /* read delay and convert from 1/100 of a second to ms */
                 delay = 10 * (buf[2] + 256 * buf[3]);
@@ -569,7 +770,7 @@ int wxGIFDecoder::ReadGIF()
                     transparent = buf[4];
 
                 /* read disposal method */
                     transparent = buf[4];
 
                 /* read disposal method */
-                disposal = (buf[1] & 0x1C) - 1;
+                disposal = ((buf[1] & 0x1C) >> 2) - 1;
             }
             else
             /* other extension, skip */
             }
             else
             /* other extension, skip */
@@ -577,6 +778,11 @@ int wxGIFDecoder::ReadGIF()
                 while ((i = (unsigned char)m_f->GetC()) != 0)
                 {
                     m_f->SeekI(i, wxFromCurrent);
                 while ((i = (unsigned char)m_f->GetC()) != 0)
                 {
                     m_f->SeekI(i, wxFromCurrent);
+                    if (m_f->Eof())
+                    {
+                        done = true;
+                        break;
+                    }
                 }
             }
         }
                 }
             }
         }
@@ -594,11 +800,29 @@ int wxGIFDecoder::ReadGIF()
             }
 
             /* fill in the data */
             }
 
             /* fill in the data */
-            m_f->Read(buf, 9);
+            static const size_t idbSize = (2 + 2 + 2 + 2 + 1);
+            m_f->Read(buf, idbSize);
+            if (m_f->LastRead() != idbSize)
+            {
+                Destroy();
+                return wxGIF_INVFORMAT;
+            }
+
+            pimg->left = buf[0] + 256 * buf[1];
+            pimg->top = buf[2] + 256 * buf[3];
+/*
             pimg->left = buf[4] + 256 * buf[5];
             pimg->top = buf[4] + 256 * buf[5];
             pimg->left = buf[4] + 256 * buf[5];
             pimg->top = buf[4] + 256 * buf[5];
+*/
             pimg->w = buf[4] + 256 * buf[5];
             pimg->h = buf[6] + 256 * buf[7];
             pimg->w = buf[4] + 256 * buf[5];
             pimg->h = buf[6] + 256 * buf[7];
+
+            if ((pimg->w == 0) || (pimg->w > m_screenw) || (pimg->h == 0) || (pimg->h > m_screenh))
+            {
+                Destroy();
+                return wxGIF_INVFORMAT;
+            }
+
             interl = ((buf[8] & 0x40)? 1 : 0);
             size = pimg->w * pimg->h;
 
             interl = ((buf[8] & 0x40)? 1 : 0);
             size = pimg->w * pimg->h;
 
@@ -624,35 +848,59 @@ int wxGIFDecoder::ReadGIF()
             if ((buf[8] & 0x80) == 0x80)
             {
                 ncolors = 2 << (buf[8] & 0x07);
             if ((buf[8] & 0x80) == 0x80)
             {
                 ncolors = 2 << (buf[8] & 0x07);
-                m_f->Read(pimg->pal, 3 * ncolors);
+                size_t numBytes = 3 * ncolors;
+                m_f->Read(pimg->pal, numBytes);
+                if (m_f->LastRead() != numBytes)
+                {
+                    Destroy();
+                    return wxGIF_INVFORMAT;
+                }
             }
             else
             }
             else
+            {
                 memcpy(pimg->pal, pal, 768);
                 memcpy(pimg->pal, pal, 768);
+            }
 
             /* get initial code size from first byte in raster data */
             bits = (unsigned char)m_f->GetC();
 
             /* get initial code size from first byte in raster data */
             bits = (unsigned char)m_f->GetC();
+            if (bits == 0)
+            {
+                Destroy();
+                return wxGIF_INVFORMAT;
+            }
 
             /* decode image */
 
             /* decode image */
-            dgif(pimg, interl, bits);
+            int result = dgif(pimg, interl, bits);
+            if (result != wxGIF_OK)
+            {
+                Destroy();
+                return result;
+            }
             m_nimages++;
 
             /* if this is not an animated GIF, exit after first image */
             if (!m_anim)
             m_nimages++;
 
             /* if this is not an animated GIF, exit after first image */
             if (!m_anim)
-                done = TRUE;
+                done = true;
         }
     }
 
         }
     }
 
-    /* setup image pointers */
-    if (m_nimages != 0)
+    if (m_nimages <= 0)
     {
     {
-        m_image = 1;
-        m_plast = pimg;
-        m_pimage = m_pfirst;
+        Destroy();
+        return wxGIF_INVFORMAT;
     }
 
     }
 
+    /* setup image pointers */
+    m_image = 1;
+    m_plast = pimg;
+    m_pimage = m_pfirst;
+
     /* try to read to the end of the stream */
     while (type != 0x3B)
     {
     /* try to read to the end of the stream */
     while (type != 0x3B)
     {
+        if (!m_f->IsOk())
+            return wxGIF_TRUNCATED;
+
         type = (unsigned char)m_f->GetC();
 
         if (type == 0x21)
         type = (unsigned char)m_f->GetC();
 
         if (type == 0x21)
@@ -669,13 +917,26 @@ int wxGIFDecoder::ReadGIF()
         else if (type == 0x2C)
         {
             /* image descriptor block */
         else if (type == 0x2C)
         {
             /* image descriptor block */
-            m_f->Read(buf, 9);
+            static const size_t idbSize = (2 + 2 + 2 + 2 + 1);
+            m_f->Read(buf, idbSize);
+            if (m_f->LastRead() != idbSize)
+            {
+                Destroy();
+                return wxGIF_INVFORMAT;
+            }
 
             /* local color map */
             if ((buf[8] & 0x80) == 0x80)
             {
                 ncolors = 2 << (buf[8] & 0x07);
 
             /* local color map */
             if ((buf[8] & 0x80) == 0x80)
             {
                 ncolors = 2 << (buf[8] & 0x07);
-                m_f->SeekI(3 * ncolors, wxFromCurrent);
+                wxFileOffset pos = m_f->TellI();
+                wxFileOffset numBytes = 3 * ncolors;
+                m_f->SeekI(numBytes, wxFromCurrent);
+                if (m_f->TellI() != (pos + numBytes))
+                {
+                    Destroy();
+                    return wxGIF_INVFORMAT;
+                }
             }
 
             /* initial code size */
             }
 
             /* initial code size */