Bei der Verarbeitung von bestimmten Dateitypen durch GIMP kann es zu Fehlern kommen. Das ist ein Einstiegspunkt für Angreifer, um Schadcode auf Computer zu schieben und auszuführen. Eine dagegen abgesicherte Version steht zum Download bereit.

Die Gefahren

Sicherheitsforscher von Trend Micros Zero Day Initiative führen die Lücken in ihrem Portal auf. Wie aus mehreren Warnmeldungen (CVE-2026-2044 „hoch“, CVE-2026-2045 „hoch“, CVE-2026-2047 „hoch“, CVE-2026-2048 „hoch“) hervorgeht, können entfernte Angreifer für Schadcode-Attacken an den Schwachstellen ansetzen. Ob davon alle Betriebssysteme bedroht sind, geht aus den Beiträgen nicht hervor.

Die Fehler finden sich bei der Verarbeitung von ICNS-, PGM- oder XWD-Dateien. Dabei kommt es zu Speicherfehlern und es gelangt Schadcode auf PCs. Das geschieht aber nicht ohne Weiteres: Dazu müssen Angreifer den Opfern eine präparierte Datei unterschieben, die diese dann öffnen. Alternativ können Angreifer präparierte Dateien auf einer von ihnen kontrollierten Website zum Download bereitstellen.

In den Beiträgen der Sicherheitsforscher gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Unklar bleibt auch, an welchen Parametern man bereits attackierte Systeme erkennen kann.

Hintergründe

Die Zero Day Initiative gibt an, dass die Sicherheitslücken bereits im November vergangenen Jahres an die GIMP-Entwickler gemeldet wurden. Die Warnmeldungen wurden erst jüngst veröffentlicht. Aus dem Changelog zu GIMP 3.0.8 von Ende Januar dieses Jahres geht hervor, dass die Entwickler die Sicherheitsprobleme gelöst haben. Nutzer sollten sicherstellen, dass sie mindestens diese Version installiert haben.

Zuletzt sorgte GIMP im IT-Security-Kontext im Oktober 2025 für Schlagzeilen, als die Entwickler ebenfalls Schadcode-Schlupflöcher geschlossen haben.

(des)

Der DNS-basierte Werbeblocker Pi-hole stopft in aktualisierter Fassung zwei Sicherheitslücken. Außerdem haben die Programmierer Änderungen umgesetzt, die der Performance insbesondere auf älteren Raspberry Pis auf die Sprünge helfen.

In einem Blog-Beitrag auf der Pi-hole-Webseite haben die Entwickler die neuen Versionen der Komponenten angekündigt. Die darin geschlossenen Sicherheitslücken betreffen das Web-Interface von Pi-hole. Zum einen hätten als Admin angemeldete Angreifer eine „Stored HTML-Injection“-Schwachstelle missbrauchen können, um HTML-Code einzuschleusen, der bei der Anzeige der DNS-Eintragstabelle angezeigt wird (CVE-2026-26952, CVSS 5.4, Risiko „mittel“). Zum anderen gelingt dies auch auf der API-Einstellungswebseite (CVE-2026-26953, CVSS 5.4, Risiko „mittel“).

Aktualisierte Pi-hole-Komponenten

Die aktuellen Pi-hole-Komponenten FTL 6.5, Web 6.4.1 und Core 6.4 stopfen die Sicherheitslecks in der Web-Oberfläche. Wer Pi-hole einsetzt, sollte generell sicherstellen, dass die Web-GUI nicht offen im Internet steht und gegebenenfalls den Zugriff auf die Admin-Rechner beschränken.

Die aktualisierten Teile von Pi-hole haben jedoch noch mehr zu bieten. Die Performance haben die Entwickler nach eigenen Angaben darin verbessert. Das Starten geht nun schneller, da FTL den Anfragenverlauf asynchron aus der Datenbank importiert. Bislang blieb die DNS-Auflösung blockiert, bis der komplette Anfrageverlauf in den Speicher geladen wurde. Jetzt akzeptiert FTL Anfragen umgehend und importiert die alten Daten in einem Hintergrund-Thread. Um die Konsistenz sicherzustellen, startet der Garbage Collector erst, wenn der Import abgeschlossen wurde.

Außerdem bringt die neue Konfigurationsoption database.forceDisk FTL dazu, die eigentlich im Speicher vorgehaltene SQLite3-Datenbank auf das Speicherlaufwerk zu verfrachten. Das reduziert den Speicherverbrauch und ist insbesondere auf älteren Raspberry Pis hilfreich. Die Programmierer weisen darauf hin, dass das besonders für Pi-hole-Instanzen taugt, deren Web-Interface nur selten genutzt wird. Wo lediglich SD-Karten genutzt werden, sorgt das unter Umständen für Geschwindigkeitseinbußen, auf Systemen mit NVMe-Laufwerk waren jedoch keine Unterschiede messbar. Der Standardwert ist „false“, lässt sich aber etwa mittels Aufruf von sudo pihole-FTL --config database.forceDisk true aktivieren.

Zudem soll das Update der Blocklisten, also des Gravity-Systems, zügiger ablaufen. Die Domain-Prüfungsschleife ist nun effizienter – Tests mit fünf Millionen Einträgen aus mehreren Listen senkten die Update-Zeit von 27 auf 23 Sekunden, was einem Geschwindigkeitsgewinn von 16 Prozent Echtzeit entspricht – bei der CPU-Zeit sogar um 22 Prozent.

Der praktische Test über wenige Tage auf einem Raspberry Pi Zero W zeigt, dass die Entwickler nicht zu viel versprechen. Wo sonst täglich mehrere Warnungen über zu hohe Systemlast in Pi-hole auftauchten, schnurrt das System nun ohne derartige Beschwerden und größere Auslastung vor sich hin. Bestehende Installationen lassen sich durch den Aufruf von „sudo pihole -up“ auf den aktuellen Stand bringen.

Vor einem Jahr hatten die Pi-hole-Entwickler die Major-Version 6 veröffentlicht. Auch diese sollte bereits die DNS-Filtersoftware verschlanken. Die nun veröffentlichten Updates legen insbesondere in diesem Belang jedoch spürbar nach.

(dmk)

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf die quelloffene Software Roundcube Webmail. Es handelt sich um eine kritische und eine hochriskante Schwachstelle, die Kriminelle nun offenbar ins Visier nehmen.

Die Warnung der CISA ist wie üblich äußerst knapp. Angriffe wurden demnach auf eine Schwachstelle bei der Deserialisierung von nicht vertrauenswürdigen Daten (CVE-2025-49113, CVSS 9.9, Risiko „kritisch“) sowie eine Cross-Site-Scripting-Lücke (CVE-2025-68461, CVSS 7.2, Risiko „hoch“) beobachtet. Wie die Angriffe aussehen und in welchem Umfang sie erfolgen, bleibt unklar. IT-Verantwortliche sollten jedoch nicht zögern und auf die jüngste fehlerbereinigte Fassung von RoundCube Webmail aktualisieren.

Die als „kritisch“ eingestufte Sicherheitslücke wurde vom NIST lediglich mit einem CVSS-Wert von 8.8 als hohes Risiko verortet. Allerdings tauchte Anfang Juni vergangenen Jahres bereits ein Beispiel-Exploit auf, der den Missbrauch der Lücke demonstriert. Angreifer können durch die Schwachstelle beliebige Befehle auf verwundbaren Systemen ausführen. Dazu ist ein gültiges Mailkonto nötig. Diese Sicherheitslücke hat Roundcube Webmail 1.5.10 und 1.6.11 geschlossen.

Roundcube Webmail: Zwei attackierte Sicherheitslücken

Die zweite Sicherheitslücke wurde kurz vor Weihnachten bekannt. Sie ermöglicht Cross-Site-Scripting-Angriffe. Die Schwachstelle betrifft die Verarbeitung des „Animate“-Tag in SVG-Dateien. Auch hier hat das NIST zunächst eine Einstufung als mittleres Risiko mit einem CVSS-Wert von 6.1 abgegeben, MITRE hingegen sieht ein hohes Risiko mit der Gefahrenstufe „hoch“ und einem CVSS-Wert 7.2. Die beobachteten Angriffe sprechen offenbar für letztere Einschätzung.

IT-Verantwortliche sollten ihre Systeme absichern, indem sie zumindest auf die fehlerkorrigierten Versionen 1.5.12 und 1.6.12 installieren. Darin haben die Entwickler die Cross-Site-Scripting-Lücke geschlossen. Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOCs) liefert die CISA ebenfalls nicht, mit denen Admins prüfen könnten, ob ihre Instanzen attackiert wurden.

(dmk)