GIMP hat eine Schwachstelle in der Verarbeitung von ICO-Dateien. Angreifer können dadurch mit manipulierten Icon-Dateien Schadcode einschleusen.
Die Sicherheitslücke hat Trend Micros Zero-Day-Initiative (ZDI) gemeldet. Es handelt sich um einen nicht näher spezifizierten Integer-Überlauf im ICO-Parser von GIMP, der auf unzureichende Überprüfung von Nutzer-.kontrollierten Daten zurückgeht. Vor dem Schreiben auf den Speicher kann dieser Überlauf auftreten – die Beschreibung nennt es nicht explizit, aber oftmals reicht die Göße eines angelegten Puffers dann nicht, um die Daten aufzunehmen, wodurch sich Speicherbereiche mit eingeschleusten Inhalten überschreiben lassen. Um die Lücke zu missbrauchen, müssen potenzielle Opfer eine bösartige Webseite besuchen oder eine sorgsam präparierte Datei öffnen (CVE-2025-5473 / EUVD-2025-17358, CVSS 7.8, Risiko "hoch").
Die Sicherheitsmitteilung der EUVD nennt als betroffene Version 3.0.2. Eine derartige Einschränkung findet sich weder beim ZDI, noch im CVE-Schwachstelleneintrag. Wahrscheinlich sind auch ältere Versionen angreifbar.
Die Entwickler haben das Sicherheitsleck zumindest in GIMP 3.0.4 abgedichtet, das im Mai erschienen ist. Die meisten Linux-Distributionen haben inzwischen aktualisierte Pakete verteilt. Wer GIMP unter Windows nutzt und die Software aus dem Microsoft Store bezogen hat, hat das Update bereits automatisch erhalten. Alle anderen GIMP-Nutzerinnen und -Nutzer sollten prüfen, ob sie schon die aktuelle Version einsetzen und sie gegebenenfalls aktualisieren.
Mitte März haben die Entwickler das seit Jahren erwartete Update auf GIMP 3 veröffentlicht. Einige Sicherheitslücken schließen die Entwickler mit dem 3er-Entwicklungszweig, die im Zweig GIMP 2 noch enthalten sind. Eine Migration auf den neuen GIMP-Softwarezweig empfiehlt sich auch daher.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo