Secunia hat eine Sicherheitslücke in der weit verbreiteten Open-Source-Bildbearbeitungssoftware Gimp gemeldet, mit der es über präparierte Bilder möglich sein könnte, einen PC zu kompromittieren. Der Dienstleister drückt sich in seinem Bericht allerdings diesbezüglich sehr vage aus, zum jetzigen Zeitpunkt dürften entwickelte Exploits nur zum Absturz der Anwendung führen.
Die Lücke findet sich laut Fehlerbericht in der Funktion seek_to_and_unpack_pixeldata in der Datei plug-ins/common/psd.c zur Verarbeitung von Bildern in Adobes Photoshop-Format PSD. Beim Öffnen einer PSD-Datei mit sehr großen Breiten- oder Höhen-Werten tritt ein Heap Overflow auf, mit dem sich Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen lassen soll – unter Windows leider meist mit Administratorrechten, unter Unix und Mac OS X in der Regel mit eingeschränkten Rechten.
Betroffen ist laut Secunia die aktuelle stabile Version 2.2.15 für Windows, Unix und Mac OS X sowie wahrscheinlich vorhergehende Versionen. Der Fehler ist in den Subversion-Repositories der Entwickler bereits behoben, eine neue Gimp-Version steht aber noch nicht zur Verfügung. Anwender, die sich Gimp nicht selbst übersetzen wollen, sollten bis zum Erscheinen einer neuen Fassung keine PSD-Dateien aus unbekannten Quellen verarbeiten.
Quelle :
www.heise.de
