GIMP: Schadcode-Lücke, da der ICO-Parser patzt

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

IT-Sicherheitsforscher haben eine Sicherheitslücke in der aktuellen GIMP-Version entdeckt. Beim Verarbeiten manipulierter ICO-Dateien kann die Grafiksoftware patzen und eingeschleusten Schadcode ausführen. Ein Update ist noch nicht verfügbar.

In einer Sicherheitsmitteilung haben die GIMP-Entwickler die Details zu der Sicherheitslücke von Trend Micros Zero-Day-Initiative herausgegeben. Dort erörtern die IT-Sicherheitsforscher die Sicherheitslücke anhand des Quellcodes tiefergehend. Eine Berechnung für eine Puffergröße nutzt Angaben zu Höhe und Breite einer ICO-Datei aus den Metadaten, die von Angreifern kontrollierbar sind. Aufgrund einer Multiplikation kann dabei ein Integer-Überlauf auftreten, wodurch der Wert zu klein ausfällt. In der Folge kann dann beim weiteren Verarbeiten der zu großen Datei ein Heap-basierter Pufferüberlauf auftreten.

Pufferüberlauf führt zu möglichem Codeschmuggel

Der Quellcode-Commit mit der Fehlerkorrektur erörtert zudem, dass ICO-Dateien auch PNGs speichern können, wodurch es möglich ist, Icons zu erstellen, die viel größer als die angegebene Bildgröße sind und dadurch ein Pufferüberlauf provoziert werden kann. Der Code prüft nun weitere Bedingungen ab, von denen die Entwickler sagen, dass sie sicherstellen, dass die Puffergrößenberechnung keinen Überlauf auslöst.

Wie die GIMP-Entwickler in den Kommentaren der Sicherheitsmeldung schreiben, haben sie Details zur Lücke bereits jetzt öffentlich gemacht, bevor eine Bugfix-Version veröffentlicht wurde, da Cyberkriminelle die Quellcode-Commits und Patches analysieren und so die Schwachstelle entdecken können. Daher sollten Nutzerinnen und Nutzer gewarnt sein.

Eine offizielle CVE-Schwachstellennummer fehlt derzeit noch, sie dürfte in Kürze folgen. Die CVSS-Wertung von 7.8 deutet auf die Risiko-Einstufung "hoch" hin.

Da noch kein Update verfügbar ist, sollten GIMP-Nutzerinnen und -Nutzer vorerst auf die Verarbeitung von ICO-Dateien zumindest aus nicht vertrauenswürdigen Quellen mit dem Programm verzichten. Da der Quellcode bereits passende Korrekturen enthält, sollten in Kürze die aktualisierten Versionen veröffentlicht werden. Das lässt sich unter Linux etwa mit der Softwareverwaltung der eingesetzten Distribution prüfen. Wer unter Windows den Komfort der Installation und Aktualisierung aus dem Microsoft-Store nutzt, hat zum Meldungszeitpunkt aber noch die verwundbare Version GIMP 3.0.2 im Einsatz.

Vor rund einem Monat wurde bekannt, dass im alten GIMP-2-Entwicklungszweig Sicherheitslücken klaffen, die ebenfalls das Einschmuggeln von Schadcode erlauben. Als Abhilfe wurde dort das Update auf die neue GIMP-3-Version genannt.

(dmk)