Mit Gimp 3.0.6 gibt es ein kleines Update für das Grafikprogramm, das sich Fehlern und Regressionen widmet und diese behebt. Darunter finden sich auch Sicherheitslücken.
In der Ankündigung heißt es, dass die Entscheidung für dieses Mikro-Release während den Arbeiten am Release Candidate für Gimp 3.2 gefallen ist. Die Entwickler haben viele dieser Fehlerbehebungen in die stabile Version zurückportiert, sodass Nutzer nicht auf 3.2 warten müssen, um sie zu erhalten.
Das ist auch aus Sicherheitsüberlegungen wichtig, den Experten der Zero Day Initiative haben insgesamt sieben Lücken in Gimp 3.0.4 entdeckt, die teils mit hohem Risiko verbunden sind. Dazu zählt unter anderem ein Gimp XWD-Datei-Parsing-Heap-basierte Pufferüberlauf, der eine Remote-Codeausführung erlaubt. Die Sicherheitslücke (CVE-2025-10934 / EUVD-2025-36722) ermöglicht es Remote-Angreifern, beliebigen Code auf betroffenen Gimp-Installationen auszuführen. Um diese Sicherheitslücke auszunutzen, ist eine Benutzerinteraktion erforderlich, das bedeutet er muss eine bösartige Seite besuchen oder eine bösartige Datei öffnen. Die spezifische Schwachstelle besteht beim Parsen von XWD-Dateien. Das Problem resultiert aus der fehlenden ordnungsgemäßen Validierung der Länge der vom Benutzer bereitgestellten Daten, bevor diese in einen heap-basierten Puffer kopiert werden. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen. Gimp 3.0.6 behebt die Sicherheitsprobleme und bringt Bugfixes.
