1. Zuhause
  2. Frage und Antwort
  3. Schwachstelle auf GIMP 2.8.14 (Windows)

Schwachstelle auf GIMP 2.8.14 (Windows)

2016-07-13 6 views
0

Ich habe auf ein Sicherheitsproblem hingewiesen, das in der Software GIMP 2.8.14 gefunden wurde. Die Verwundbarkeit Beschreibung finden Sie hier: Vulnerability DescriptionSchwachstelle auf GIMP 2.8.14 (Windows)

Und die CVE hier: CVE-2016-4994

Wenn ich an die Verwundbarkeit geraten war, war ich auch über eine Lösung beraten, die die Software mit einer bestimmten Version aktualisieren gesendet ich in diesem beraten. Die Sache ist, dass das Upgrade nur für Linux verfügbar ist, und wir haben GIMP unter Windows.

Kennen Sie etwas über die Risiken dieser Sicherheitsanfälligkeit in der Version 2.8.16 (welche ist die, die wir haben)? Und wenn es Risiken gibt, kennen Sie die richtigen Maßnahmen, um das zu vermeiden?

Ich habe nichts über GIMP unter Windows gefunden, alle Lösungen sind für Linux eingestellt.

Vielen Dank im Voraus.

Quelle

2016-07-13 J.P Rojas

Antwort

1

Die neue Version 2.8.18 von GIMP behebt diese Sicherheitslücke. Überprüfen Sie die release Notizen unter: http://www.gimp.org/news/2016/07/14/gimp-2-8-18-released/

Wie auch immer, ich denke, das ist ein großes Problem überhaupt.

GIMP ist nicht als "sichere Software" gedacht - es läuft als Benutzerprozessor und muss mit Dutzenden von Dateiformaten umgehen, von denen jeder bis zu Hunderten verschiedener Datenstrukturen haben kann. Es verwendet Bibliotheken von Drittanbietern, um einige dieser Datenformate zu verarbeiten.

Man kann nicht erwarten, dass eine Version von GIMP sicher gegen das Öffnen einer Datei ist und diese Datei beliebigen Code ausführen lässt, mit denselben Rechten, die das Programm selbst hat. Während diese spezielle Sicherheitslücke über die nativen XCF-Dateien von GIMP spricht, die in dieser Hinsicht möglicherweise korrigiert werden, kann man einfach eine Postscript-Datei öffnen, die per Definition ein vollständiges Programm ist und beliebigen Code laufen lässt, selbst für wohlgeformte Bilder. In den meisten Fällen sollten die verwendeten PostScript-Bibliotheken das laufende Programm im Sandkasten halten und verhindern, dass es z. B. auf das Dateisystem zugreift, aber es wird trotzdem in der Lage sein, CPU als DoS-Angriff zu verwenden.

Es hängt von Ihrem Betriebssystem ab, zu steuern, auf welche Ressourcen eine Benutzeranwendung zugreifen kann. Schwachstellen in GIMP bieten keine Privilegien-Eskalation, wenn das Betriebssystem knapp ist. Und man könnte sogar feinkörnigere Sicherheitsmerkmale (z. B. SELinux) verwenden, um den Anwendungszugriff weiter einzuschränken.

Wie bei GIMP ist die Version 2.8.18 seit gestern - wenn dieses spezielle Problem als behoben markiert ist, sollten Sie versuchen, diese zu greifen.

Quelle

2016-07-14 14:13:01 jsbueno

+0

Danke für Ihre Antwort. Ich werde versuchen, Ihren Empfehlungen zu folgen, die mit der Sicherheit des Betriebssystems und der Version 2.8.18 zusammenhängen. Das Problem, das wir für das Betriebssystem haben, ist, dass es sich um ein Windows, nicht um ein Linux handelt, und das Management dieses Betriebssystems auf einer niedrigeren oder restriktiveren Ebene ist komplexer als Linux. Vielleicht ein Upgrade unserer Version wird eine bessere und erreichbare Lösung sein. Danke noch einmal. –

Verwandte Themen

 Verwandte Themen