Sicherheitslücke in GIMP (ZDI-CAN-26752)
Die Zero Day Initiative (ZDI) hat eine Sicherheitslücke in der Bildbearbeitungssoftware GIMP (Version 3.0.2) entdeckt, die bei der Verarbeitung von ICO-Dateien auftritt. Die Schwachstelle (Integer Overflow) ermöglicht eine entfernte Ausführung von Schadcode, da Angreifer durch manipulierte ICO-Dateien einen Heap-Buffer-Overflow auslösen können.
Die Ursache der Sicherheitslücke liegt in der Funktion ico_read_png, in der Breite (w) und Höhe (h) eines Bildes unzureichend geprüft und multipliziert werden, was bei großen Werten zu einem Integer-Overflow führt. Dadurch können Angreifer gezielt Schadcode in den Speicher einschleusen und ausführen.
Die Schwachstelle wurde vom Entwicklerteam bereits behoben (Commit c855d1df) und ist für das kommende GIMP-Release 3.0.4 eingeplant.
Die Sicherheitslücke wurde mit einem CVSS-Wert von 7.8 (hoch) bewertet. Nutzern wird dringend empfohlen, GIMP auf die Version 3.0.4 zu aktualisieren, sobald diese veröffentlicht wird.