Schwachstelle im freien Bildbearbeitungstool Gimp
Bei der Verarbeitung präparierter BMP-Bilder tritt ein Fehler auf, der sich für einen Heap Overflow ausnutzen lässt. Dadurch könnte ein Angreifer seinen Code in ein System schleusen und starten. Der Fehler ist bislang nur im GIT-Repository behoben.
- Daniel Bachfeld
Eine Schwachstelle im freien Bildbearbeitungstool GNU Image Manipulation Program (Gimp) lässt sich nach Angaben des Sicherheitsdienstleisters Secunia möglicherweise ausnutzen, um ein System zu kompromittieren. Laut Bericht tritt bei der Verarbeitung präparierter Bilder im BMP-Format in der Funktion ReadImage() in plug-ins/file-bmp/bmp-read.c ein Integer Overflow auf, der sich im Weiteren für einen Heap Overflow ausnutzen lässt. Dadurch könnte ein Angreifer seinen Code in ein System schleusen und starten. Einen konkreten Nachweis hat Secunia allerdings noch nicht geliefert.
Der Fehler wurde in der aktuellen Version 2.6.7 gefunden. Andere Versionen sind möglicherweise ebenfalls betroffen. Der Hersteller wurde vor zehn Tagen über die Lücke informiert und hat das Problem zumindest im GIT-Repository behoben. Ein offizielles Update gibt es aber noch nicht.
Siehe dazu auch:
- Gimp BMP Image Parsing Integer Overflow Vulnerability, Bericht von Secunia
(dab)
