Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

GIMP: Codeschmuggel-Lücke in Versionszweig 2

Im Grafikprogramm GIMP können Angreifer zwei Sicherheitslücken zum Einschleusen von Schadcode missbrauchen. Der Umstieg auf GIMP 3 schützt.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Gimp-Logo auf einem "aufgeplatzten" Monitor, aus dem Viren fliegen

(Bild: Erstellt mit KI in Janus Pro von heise online / dmk)

Lesezeit: 2 Min.
Security
Von

Im freien Grafikprogramm GIMP hat die Zero-Day-Initiative (ZDI) von Trend Micro zwei Schwachstellen gefunden. Angreifer können sie zum Einschmuggeln und Ausführen von Schadcode missbrauchen. Abhilfe schafft die Version 3 von GIMP.

Das ZDI hat ebenso wie das GIMP-Projekt die Meldungen zu den Schwachstellen nun öffentlich gemacht. CVE-Schwachstelleneinträge existieren bislang allerdings noch nicht, die dürften jedoch in Kürze folgen. Die Sicherheitslücken haben die ZDI-Forensiker in GIMP 2.10.38 entdeckt, die bislang letzte und aktuelle Fassung des 2er-Entwicklungszweigs.

GIMP: Hochriskante Sicherheitslecks

Eine Schwachstelle findet sich in der Verarbeitung von FLI-Dateien. Durch sie ist es möglich, dass es zu Schreibzugriffen auf Speicher außerhalb der vorgesehenen Grenzen kommt. Laut Sicherheitsmitteilung kann das zum Ausführen von Schadcode aus dem Netz führen (noch ohne CVE, CVSS 7.8, Risiko "hoch"). Eine zweite Sicherheitslücke betrifft den Parser für XWD-Dateien. Darin kann ein Integer-Überlauf und in der Folge Schreibzugriffe außerhalb vorgesehener Speichergrenzen auftreten, ebenfalls mit der Folge, dass eingeschleuster Schadcode zur Ausführung gelangt (noch ohne CVE, CVSS 7.8, Risiko "hoch").

Die GIMP-Entwickler haben die Sicherheitslücken in GIMP 3 geschlossen. GIMP-Nutzerinnen und -Nutzer sollten daher unbedingt auf den neuen Versionszweig aktualisieren, um die Angriffsfläche auf ihren Systemen zu minimieren. Unter Windows 10 und 11 lässt sich GIMP 3 komfortabel aus dem Microsoft Store einrichten, der dann auch für zeitnahe Updates der Software sorgt, sollten diese nötig sein. Unter Linux ist dazu in der Regel die Softwareverwaltung der eingesetzten Distribution aufzurufen, sodass diese nach Aktualisierungen sucht und diese installieren kann.

Lesen Sie auch

GIMP 3 erschien Mitte März und wurde bereits lange erwartet, immerhin sieben Jahre dauerte die Entwicklung. Die neue Version kennt nicht-destruktive Filter, verbessert die Unterstützung für hochauflösende Displays (HiDPI) und erweiterte Farbräume.

Siehe auch:

  • GIMP: Download schnell und sicher von heise.de

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten