Bildbearbeitung: Angreifer können Gimp Schadcode unterjubeln
Die freie Open-Source-Bildbearbeitung Gimp ist in Version 2.10.36 erschienen. Sie schließt Sicherheitslücken, die Codeschmuggel erlauben.
(Bild: Screenshot / dmk)
Gleich vier Sicherheitslecks dichtet die neue Version 2.10.36 der Bildbearbeitung Gimp ab. Angreifer könnten arglosen Opfern mit manipulierten Bilddateien Schadcode unterschieben. Die zügige Aktualisierung ist daher anzuraten.
Trend Micros Zero Day Initiative (ZDI) hat die Sicherheitslücken entdeckt und gemeldet. Sie betreffen die Bildformate DDS, PSD und PSP, bei deren Verarbeitung sich Fehler provozieren lassen, die Angreifer zum Einschleusen und Ausführen beliebigen Codes missbrauchen können.
Gimp-Update korrigiert vier sicherheitsrelevante Fehler
Aufgrund einer fehlenden Längenprüfung von benutzerkontrollierten Daten vor deren Kopieren auf einen Heap-basierten Puffer können Angreifer bei der Verarbeitung von DDS-Dateien Code im Kontext des aktuellen Prozesses ausführen, erläutert die ZDI in einer Sicherheitsmitteilung (CVE-2023-44441, CVSS 7.8, Risiko "hoch"). Dazu sei jedoch Nutzerinteraktion nötig, da diese eine bösartige Seite oder eine bösartige Datei dazu öffnen müssten.
Derselbe Fehlertyp mit den gleichen Folgen lässt sich bei der Verarbeitung von PSD-Dateien provozieren (CVE-2023-44442, CVSS 7.8, hoch). Eine unzureichende Prüfung von nutzerkontrollierten Daten bei der Verarbeitung von PSP-Dateien kann einen Integer-Überlauf vor dem Schreiben in den Speicher auslösen – und Angreifer dadurch Schadcode einschmuggeln (CVE-2023-44443, CVSS 7.8, hoch). Außerdem können sorgsam präparierte PSP-Dateien einen "Off-by-one"-Fehler bei der Berechnung einer Schreibposition auf dem Heap-Puffer provozieren, was ebenfalls Codeschmuggel ermöglicht (CVE-2023-44444, CVSS 7.8, hoch).
Die Versionsankündigung von GIMP geht nicht im Details auf die Schwachstellen ein, sondern konzentriert sich etwa auf neu unterstützte Farbpaletten, nicht-quadratische Verhältnisse in GIF-Bildern und weitere Verbesserungen der Software. Es seien jedoch auch Abhängigkeiten in den Binär-Paketen aktualisiert worden, was kürzlich entdeckte Schwachstellen in den Bibliotheken ausbessert. Die Gimp-Entwickler empfehlen daher in jedem Fall, Gimp auf die jüngsten Pakete zu aktualisieren. Die neuen Versionen stehen auf der Gimp-Downloadseite zum Herunterladen bereit.
Die Bildbearbeitung Gimp ist eines der Vorzeige-Open-Source-Programme. Im Jahr 2020 feierte es 25-jähriges Jubiläum.
Siehe auch:
- GIMP 2.10.36: Download schnell und sicher von heise.de
(dmk)
