LĂĽcke in Bildbearbeitungsoftware Gimp
Secunia hat eine Sicherheitslücke in der weit verbreiteten Open-Source-Bildbearbeitungssoftware Gimp gemeldet, mit der es über präparierte Bilder möglich sein könnte, einen PC zu kompromittieren.
- Daniel Bachfeld
Secunia hat eine Sicherheitslücke in der weit verbreiteten Open-Source-Bildbearbeitungssoftware Gimp gemeldet, mit der es über präparierte Bilder möglich sein könnte, einen PC zu kompromittieren. Der Dienstleister drückt sich in seinem Bericht allerdings diesbezüglich sehr vage aus, zum jetzigen Zeitpunkt dürften entwickelte Exploits nur zum Absturz der Anwendung führen.
Die Lücke findet sich laut Fehlerbericht in der Funktion seek_to_and_unpack_pixeldata in der Datei plug-ins/common/psd.c zur Verarbeitung von Bildern in Adobes Photoshop-Format PSD. Beim Öffnen einer PSD-Datei mit sehr großen Breiten- oder Höhen-Werten tritt ein Heap Overflow auf, mit dem sich Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen lassen soll – unter Windows leider meist mit Administratorrechten, unter Unix und Mac OS X in der Regel mit eingeschränkten Rechten.
Betroffen ist laut Secunia die aktuelle stabile Version 2.2.15 fĂĽr Windows, Unix und Mac OSÂ X sowie wahrscheinlich vorhergehende Versionen. Der Fehler ist in den Subversion-Repositories der Entwickler bereits behoben, eine neue Gimp-Version steht aber noch nicht zur VerfĂĽgung. Anwender, die sich Gimp nicht selbst ĂĽbersetzen wollen, sollten bis zum Erscheinen einer neuen Fassung keine PSD-Dateien aus unbekannten Quellen verarbeiten.
Siehe dazu auch:
- Gimp PSD Plugin Integer Overflow Vulnerability, Fehlerbericht von Secunia
- Ein Haufen Risiko, Pufferüberläufe auf dem Heap und wie man sie ausnutzt, Hintergrundartikel auf heise Security
(dab)
