Die aktuelle GIMP-Version 3.0.2 weist eine Schwachstelle auf, die ausgenutzt werden könnte, um Schadcode einzuschleusen. Die Entwickler hatten GIMP 3.0 erst Mitte März freigegeben und eine Woche später mit der Version 3.0.2 einen ersten Bug-Fix nachgeschoben. Ein neueres Update steht noch nicht bereit.
Update 20. Mai – GIMP 3.0.4 steht bereit
Seit dem 18. Mai steht die neue GIMP-Version 3.0.4 zum Download bereit, in der die Entwickler die durch ZDI-Forscher entdeckte Sicherheitslücke ZDI-CAN-26752 geschlossen haben. [/Update Ende]
Ursprünglicher Beitrag vom 13. Mai
Sicherheitsforscher der Trend Micro Zero Day Initiative (ZDI) haben in GIMP 3.0.2 eine Sicherheitslücke entdeckt, der sie den Bezeichner ZDI-CAN-26752 gegeben haben. Eine CVE-ID ist bislang noch nicht bekannt, der CVSS-Score 7.8 bedeutet ein hohes Risiko. Wird eine speziell präparierte ICO-Datei mit GIMP geöffnet, kann es aufgrund unzureichender Prüfung der Bildgröße zu einem Pufferüberlauf kommen.
Der ICO-Parser, also die Software-Komponente im GIMP, die eine geöffnete ICO-Datei (in diesem Format speichert Windows Icons) verarbeitet, berechnet die erforderliche Puffergröße aus den Metadaten der ICO-Datei. Darin kann der Ersteller der ICO-Datei beliebige Abmessungen angeben. In der Folge kann die berechnete Puffergröße zu gering ausfallen und der Puffer läuft über. Das Programm stürzt ab und geschickt im Speicher platzierter Schadcode kann ausgeführt werden.
▶Die neuesten Sicherheits-Updates
Im öffentlich einsehbaren Quelltext des Bildbearbeitungsprogramms ist der fehlerhafte Code im ICO-Parser bereits korrigiert. Eine installierbare neue GIMP-Version ist hingegen noch nicht erhältlich. Die Entwickler erklären ihr Vorgehen damit, dass potenzielle Täter die (zwangsläufig öffentlichen) Code-Korrekturen (Commits) untersuchen können, um herauszufinden, wie man die Schwachstelle ausnutzen kann. Deshalb warne man die Öffentlichkeit vor dem Risiko einer solchen Attacke, noch bevor eine korrigierte Software-Version verfügbar sei.
Da die nächste geplante Version 3.0.4, in der diese Lücke gestopft sein soll, weitaus mehr Änderungen mitbringen wird, können die Entwickler das Update nicht einfach halbfertig zur Tür hinausschieben. Bis es soweit ist, sollten Sie ICO-Dateien, die Sie nicht selbst erstellt haben, besser nicht mit GIMP öffnen. Wer noch die alte GIMP-Generation 2.x im Einsatz hat, sollte sich nicht zu sicher fühlen, denn auch darin haben die ZDI-Forscher Sicherheitslücken aufgedeckt, etwa beim Öffnen von XWD-Dateien (CVE-2025-2760). Diese Schwachstelle funktioniert ganz ähnlich wie die oben genannte, ist jedoch in GIMP 3.0 beseitigt.
Tipp: Unabhängig davon, dass Sie Ihre Software stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
GIMP steht für GNU Image Manipulation Program. Die kostenlos nutzbare Open Source Grafik-Software gibt es unter anderem für Linux, Windows, und macOS. GIMP 1.0 ist 1998 erschienen und seitdem hat sich GIMP zu einem ernstzunehmenden Foto- und Bildbearbeitungsprogramm entwickelt.
