Datenschutz & Sicherheit

Gimp: Version 3.2.2 schließt Codeschmuggel-Lücke mit GIFs


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In den Verarbeitungsroutinen für mehrere Bildformate in Gimp schlummern Schwachstellen, die Angreifer etwa zum Einschleusen und Ausführen von Schadcode missbrauchen können. Dazu reicht das Öffnen manipulierter Bilddateien etwa im GIF-Format aus. Ein Update auf Gimp 3.2.2 schließt die Lücken.

Weiterlesen nach der Anzeige

Die Schwachstelleneinträge sind jetzt in der Nacht zum Donnerstag erschienen. Etwa in der ReadJeffsImage-Funktion der GIF-Ladekomponente können Angreifer einen potenziellen Pufferüberlauf missbrauchen, um über die Grenzen eines angelegten Puffers hinauszuschreiben. Das kann möglicherweise zum Ausführen beliebigen Codes beim Verarbeiten sorgsam präparierter GIF-Dateien führen (CVE-2026-6384, CVSS 7.3, Risiko „hoch“). Die Gimp-Entwickler haben die Lücke laut Bugtracker bereits geschlossen.

Weitere Sicherheitsprobleme bei der Dateiverarbeitung

Weitere Sicherheitslücken betreffen Plugins zur Verarbeitung bestimmter Dateiformate. Ein Pufferüberlauf beim Einlesen von „file-seattle-filmworks“-Dateien kann zum Absturz führen (CVE-2026-40919, CVSS 6.1, Risiko „mittel“). Eine präparierte PVR-Image-Datei kann ebenfalls einen Denial-of-Service provozieren (CVE-2026-40918, CVSS 5.5, Risiko „mittel“). Ein Integer-Überlauf kann hingegen beim Lesen von FITS-Bildern auftreten, wodurch ein Null-Byte-Puffer angefordert wird, was zu einem Heap-basierten Pufferüberlauf beim Schreiben von Pixeldaten führt. Auch das kann möglicherweise zum Einschleusen von Schadcode missbraucht werden (CVE-2026-40915, CVSS 5.5, Risiko „mittel“).

Manipulierte ICNS-Bilder könnten lesend auf Speicherbereiche jenseits der vorgesehenen Grenzen aufgrund einer Schwachstelle in der Funktion icns_slurp() zugreifen und so möglicherweise Informationen auslesen (CVE-2026-40917, CVSS 5.0, Risiko „mittel“). Sorgsam präparierte TIM-Bilder können zudem zu einem Denial-of-Service führen, da Gimp beim 4BPP-Dekodieren einen Überlauf erzeugt (CVE-2026-40916, CVSS 5.0, Risiko „mittel“).

Wer die betroffenen Dateiformate GIF, file-seattle-filmworks, FITS, ICNS oder TIM einsetzt, sollte das Update auf Gimp 3.2.2 nun unbedingt nachholen. Die Installationspakete stehen auf der Download-Seite zum Herunterladen bereit.

Gimp 3.2 erschien Mitte März und hatte dabei auch hochriskante Codeschmuggel-Lücken geschlossen.

Weiterlesen nach der Anzeige


Update

16.04.2026,

17:31

Uhr

Gimp 3.2.2 schließt die Schwachstellen, in der Meldung angepasst. Lediglich die CVE-Schwachstelleneinträge wurden erst jetzt veröffentlicht.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen