Neues aus der IT-Welt

Im freien Grafikprogramm GIMP hat die Zero-Day-Initiative (ZDI) von Trend Micro zwei Schwachstellen gefunden. Angreifer können sie zum Einschmuggeln und Ausführen von Schadcode mißbrauchen. Abhilfe schafft die Version 3 von GIMP.

Das ZDI hat ebenso wie das GIMP-Projekt die Meldungen zu den Schwachstellen nun öffentlich gemacht. CVE-Schwachstelleneinträge existieren bislang allerdings noch nicht, die dürften jedoch in Kürze folgen. Die Sicherheitslücken haben die ZDI-Forensiker in GIMP 2.10.38 entdeckt, die bislang letzte und aktuelle Fassung des 2er-Entwicklungszweigs.

Eine Schwachstelle findet sich in der Verarbeitung von FLI-Dateien. Durch sie ist es möglich, daß es zu Schreibzugriffen auf Speicher außerhalb der vorgesehenen Grenzen kommt. Laut Sicherheitsmitteilung kann das zum Ausführen von Schadcode aus dem Netz führen (noch ohne CVE, CVSS 7.8, Risiko "hoch"). Eine zweite Sicherheitslücke betrifft den Parser für XWD-Dateien. Darin kann ein Integer-Überlauf und in der Folge Schreibzugriffe außerhalb vorgesehener Speichergrenzen auftreten, ebenfalls mit der Folge, daß eingeschleuster Schadcode zur Ausführung gelangt (noch ohne CVE, CVSS 7.8, Risiko "hoch").

Die GIMP-Entwickler haben die Sicherheitslücken in GIMP 3 geschlossen. GIMP-Nutzer sollten daher unbedingt auf den neuen Versionszweig aktualisieren, um die Angriffsfläche auf ihren Systemen zu minimieren. Unter Windows 10 und 11 läßt sich GIMP 3 komfortabel aus dem Microsoft Store einrichten, der dann auch für zeitnahe Updates der Software sorgt, sollten diese nötig sein. Unter Linux ist dazu in der Regel die Softwareverwaltung der eingesetzten Distribution aufzurufen, sodaß diese nach Aktualisierungen sucht und diese installieren kann.

GIMP 3 erschien Mitte März und wurde bereits lange erwartet, immerhin sieben Jahre dauerte die Entwicklung. Die neue Version kennt nicht-destruktive Filter, verbessert die Unterstützung für hochauflösende Displays (HiDPI) und erweiterte Farbräume.