GIMP(3.0.2版)当前存在可被利用注入恶意代码的安全漏洞。开发团队于今年三月发布GIMP 3.0后仅一周便推出3.0.2版本,但目前尚未提供更新补丁。
趋势科技零日计划(ZDI)安全研究人员发现,GIMP 3.0.2存在编号为ZDI-CAN-26752的安全漏洞(尚未分配CVE编号)。该漏洞源于验证机制不足导致的潜在缓冲区溢出风险。
具体而言,当ICO文件实际尺寸远超声明尺寸时就会触发漏洞。虽然ICO创建者可任意设定图像尺寸参数,但若实际尺寸超出设定值,将导致系统计算的缓冲区空间不足。一旦发生缓冲区溢出,攻击者预先植入内存的恶意代码便可能被执行。
图像编辑软件的公开源代码中,ICO解析器的缺陷代码已完成修复。但官方尚未发布新版程序。开发团队警告称,恶意攻击者可能通过分析公开源代码发现此类漏洞并加以利用,建议用户在等待正式修复版本期间保持警惕。由于下一计划版本(3.0.4版)将包含多项重大改动,开发团队无法仓促发布半成品更新。
在此期间,建议用户避免使用任何版本的GIMP打开ICO文件——无论是新版3.x系列还是旧版2.x系列均受影响。仍在使用2.x版本的用户需注意,ZDI研究人员同样在该系列中发现安全漏洞,其中某个漏洞的触发机制与上述漏洞高度相似,但已在3.x版本中完成修复。
GIMP全称为GNU图像处理程序(GNU Image Manipulation Program)。这款开源免费的图像编辑软件支持Windows、macOS和Linux等系统。自1998年发布1.0版本以来,GIMP已发展成为功能强大的图像处理工具。
