Gimp'teki çeşitli görüntü formatlarının işleme rutinlerinde, saldırganların kötü amaçlı kod enjekte etmek ve yürütmek gibi amaçlarla kötüye kullanabileceği güvenlik açıkları vardır. Tek yapmanız gereken, üzerinde oynanmış görüntü dosyalarını GIF formatında açmaktır. Gimp 3.2.2'ye yapılan bir güncelleme boşlukları dolduruyor.
Duyurudan sonra devamını okuyun
Güvenlik açıklarına ilişkin söylentiler Perşembe akşamı ortaya çıktı. Hakkında ReadJeffsImageGIF yükleme bileşeninin bir özelliği olan saldırganlar, hazırlanmış bir arabelleğin sınırlarının ötesine yazmak için olası bir arabellek taşmasını kötüye kullanabilir. Bu, dikkatle hazırlanmış GIF dosyalarını (CVE-2026-6384, CVSS) işlerken potansiyel olarak rastgele kod yürütülmesine yol açabilir. 7.3risk”yüksek“). Hata izleyiciye göre Gimp geliştiricileri açığı zaten kapatmış durumda.
Dosya işlemeyle ilgili ek güvenlik sorunları
Diğer güvenlik açıkları belirli dosya formatlarını işlemeye yönelik eklentilerle ilgilidir. file-seattle-filmworks dosyalarını okurken arabellek taşması çökmeye neden olabilir (CVE-2026-40919, CVSS 6.1risk”orta“). Özel olarak oluşturulmuş bir PVR görüntü dosyası da hizmet reddine neden olabilir (CVE-2026-40918, CVSS 5.5risk”orta“). Öte yandan, FITS görüntüleri okunurken sıfır bayt arabellek gerektiren ve piksel verileri yazılırken yığın tabanlı arabellek taşmasına neden olan bir tamsayı taşması meydana gelebilir. Bu aynı zamanda kötü amaçlı kod enjekte etmek için kötüye kullanılabilir (CVE-2026-40915, CVSS) 5.5risk”orta“).
Manipüle edilmiş ICNS görüntüleri, özellikteki bir güvenlik açığı nedeniyle bellek alanlarını amaçlanan sınırların ötesinde okuyabilir icns_slurp() bilgilere erişin ve muhtemelen okuyun (CVE-2026-40917, CVSS 5.0risk”orta“). Dikkatlice hazırlanmış TIM görüntüleri, Gimp 4BPP'nin kodunu çözerken taşma oluşturduğundan hizmet reddine de yol açabilir (CVE-2026-40916, CVSS) 5.0risk”orta“).
Etkilenen dosya formatlarını GIF, file-seattle-filmworks, FITS, ICNS veya TIM kullanan herkesin artık kesinlikle Gimp 3.2.2 sürümüne yükseltme yapması gerekmektedir. Kurulum paketleri indirme sayfasından indirilebilir.
Gimp 3.2, Mart ortasında piyasaya sürüldü ve aynı zamanda yüksek riskli kod kaçakçılığı açıklarını da kapattı.
Duyurudan sonra devamını okuyun
Güncelleme
17.31
Saat
Gimp 3.2.2, mesajda uyarlanan güvenlik açıklarını kapatır. CVE güvenlik açıklarına ilişkin söylentiler ancak şimdi yayınlandı.
(Bilmiyorum)
Bir yanıt yazın