Sicherheitslücke in GIMP (ZDI-CAN-26752)

Die Zero Day Initiative (ZDI) hat eine Sicherheitslücke in der Bildbearbeitungssoftware GIMP (Version 3.0.2) entdeckt, die bei der Verarbeitung von ICO-Dateien auftritt. Die Schwachstelle (Integer Overflow) ermöglicht eine entfernte Ausführung von Schadcode, da Angreifer durch manipulierte ICO-Dateien einen Heap-Buffer-Overflow auslösen können.

Die Ursache der Sicherheitslücke liegt in der Funktion ico_read_png, in der Breite (w) und Höhe (h) eines Bildes unzureichend geprüft und multipliziert werden, was bei großen Werten zu einem Integer-Overflow führt. Dadurch können Angreifer gezielt Schadcode in den Speicher einschleusen und ausführen.

Die Schwachstelle wurde vom Entwicklerteam bereits behoben (Commit c855d1df) und ist für das kommende GIMP-Release 3.0.4 eingeplant.

Die Sicherheitslücke wurde mit einem CVSS-Wert von 7.8 (hoch) bewertet. Nutzern wird dringend empfohlen, GIMP auf die Version 3.0.4 zu aktualisieren, sobald diese veröffentlicht wird.

Related Posts

Kritische Sicherheitslücke CVE-2025-31324 in SAP NetWeaver entdeckt

Eine gravierende Sicherheitslücke mit der Kennung CVE-2025-31324 gefährdet aktuell zahlreiche SAP-Systeme weltweit. Mit einer extrem kritischen Bewertung von 9,9 (CVSS) betrifft diese Schwachstelle den SAP NetWeaver Application Server Java. Konkret ermöglicht der Fehler unbefugten Zugriff auf den UDDI-Dienst (Universal Description, Discovery, and Integration) ohne jegliche Authentifizierung.

Read More

eBay aktualisiert Datenschutzerklärung – Nutzerbewertungen als KI‑Trainingsdaten

Seit Ostermontag weist eBay in seiner überarbeiteten Datenschutzerklärung darauf hin, dass Nutzerdaten künftig nicht nur für personalisierte Services, sondern auch zum Trainieren, Testen und Validieren eigener und Drittanbieter‑KI‑Modelle verwendet werden. Im März kam eine E‑Mail, die auf die Neuerung hinwies, ohne jedoch zu erläutern, welche Daten konkret betroffen sind oder wie genau sie zum Einsatz kommen.

Read More

Kritische Sicherheitslücken in Grafana gepatcht

Am 22. April 2025 hat Grafana Labs für alle aktuellen Zweige von Grafana OSS und Enterprise Sicherheitspatches veröffentlicht (u. a. Grafana 11.6.0+security-01, 11.5.3+security-01, 11.4.3+security-01, 11.3.5+security-01, 11.2.8+security-01 und 10.4.17+security-01). Enthalten sind ein High-Severity-Fix für CVE-2025-3260 (Umgehung von Dashboard-Rechten für Viewer und Editor) sowie Medium-Severity-Patches für CVE-2025-2703 (DOM-XSS im XY-Chart-Plugin) und CVE-2025-3454 (Autorisierungs-Bypass in der Data-Source-Proxy-API). Grafana Cloud sowie Managed-Services bei AWS und Azure wurden vorab gepatcht. Betreiber sollten umgehend auf die genannten Versionen aktualisieren, um ihre Systeme zu schützen.

Read More