GIMP: Manipulierte Bilder können Schadcode einschmuggeln

Das kürzlich veröffentlichte Update auf GIMP 3.0.6 bringt nicht nur Verbesserung der Nutzbarkeit, sondern schließt auch handfeste Sicherheitslücken. Jetzt sind die Schwachstellenbeschreibungen verfügbar: GIMP kann bei der Verarbeitung einiger manipulierter Bildformate untergejubelten Schadcode ausführen.

In der Release-Ankündigung schreiben die GIMP-Entwickler nur knapp, dass sie Berichte der Zero-Day-Initiative (ZDI) über potenzielle Sicherheitslücken in einigen der Datei-Import-Plug-ins erhalten haben. „Während diese Probleme sehr unwahrscheinlich mit echten Dateien auftreten“, haben die Entwickler „proaktiv die Sicherheit“ für diese Import-Komponenten verbessert.

GIMP: Mehrere Datei-Parser löchrig

In mehreren Import-Routinen für Bildformate hat die ZDI Sicherheitslücken gemeldet. Und anders als die GIMP-Entwickler sehen die IT-Forscher ein hohes Risiko darin.

Im Parser für XWD-Dateien können manipulierte Dateien demnach einen Heap-basierten Pufferüberlauf provozieren und dadurch Code einschleusen und ausführen (CVE-2025-10934 / EUVD-2025-36722, CVSS 7.8, Risiko „hoch„). Bei ILBM-Dateien kann ein Stack-basierter Pufferüberlauf mit denselben Folgen auftreten (CVE-2025-10925 / EUVD-2025-36713, CVSS 7.8, Risiko „hoch„), FF-Dateien können einen Integer-Überlauf auslösen (CVE-2025-10924 / EUVD-2025-36714, CVSS 7.8, Risiko „hoch„).

Ein weiterer Integer-Überlauf befindet sich im WBMP-Parser (CVE-2025-10923 / EUVD-2025-36715, CVSS 7.8, Risiko „hoch„), manipulierte DCM-Dateien können hingegen einen Heap-basierten Puffer überlaufen lassen (CVE-2025-10922 / EUVD-2025-36716, CVSS 7.8, Risiko „hoch„) – ebenso HDR-Dateien (CVE-2025-10921 / EUVD-2025-36717, CVSS 7.8, Risiko „hoch„). Schließlich können präparierte ICNS-Dateien zu Schreibzugriffen außerhalb der vorgesehenen Grenzen und in der Folge zur Ausführung eingeschmuggelten Codes führen (CVE-2025-10920 / EUVD-2025-36718, CVSS 7.8, Risiko „hoch„).

Allen Lücken ist gemein, dass zum Ausnutzen das Öffnen von manipulierten Dateien nötig ist – es ist also Nutzerinteraktion erforderlich. Angreifer könnten mittels Social Engineering potenzielle Opfer dazu verleiten.

Die Sicherheitslücken haben die IT-Forscher in GIMP 3.0.4 entdeckt, die Version 3.0.6 vom Anfang Oktober schließt sie. GIMP-Nutzerinnen und -Nutzer sollten die verfügbare Aktualisierung zügig anwenden. Unter Linux sollte die Paketverwaltung der Distribution das Update liefern. Wer in Windows GIMP aus dem Microsoft-Store installiert hat, sollte eine automatische Aktualisierung erhalten haben. Winget liefert das Update ebenfalls aus, der Aufruf von „winget update gimp“ sollte es auf den lokalen Rechner bringen. Alternativ bietet das GIMP-Projekt auf der Download-Seite Installationspakete für diverse Plattformen an.

Im Juni haben die GIMP-Programmierer eine Schwachstelle im ICO-Parser gefixt. Auch sie ermöglichte das Unterjubeln von Schadcode.

(dmk)