Achtung GIMP-Nutzer: Sicherheitsrisiko beim Öffnen von Icon-Dateien
Erst vor kurzem wurde GIMP 3.0 nach langer Entwicklungszeit veröffentlicht, doch schon jetzt gibt es Grund zur Vorsicht. Sicherheitsforscher haben in der aktuellen Version 3.0.2 eine kritische Schwachstelle entdeckt, die es Angreifern ermöglichen könnte, Schadcode auf deinem System auszuführen. Das Problem betrifft speziell die Verarbeitung von ICO-Dateien, also dem gängigen Format für Windows-Icons.
Was ist das Problem?
Die Sicherheitslücke wurde von Forschern der Trend Micro Zero Day Initiative (ZDI) identifiziert und mit der Bezeichnung ZDI-CAN-26752 versehen. Mit einem CVSS-Score von 7.8 wird das Risiko als „hoch“ eingestuft, was durchaus beunruhigend ist. Eine offizielle CVE-ID wurde bislang noch nicht vergeben.
Der technische Hintergrund: Im ICO-Parser von GIMP gibt es eine gefährliche Schwachstelle. Wenn du eine manipulierte ICO-Datei öffnest, berechnet GIMP die notwendige Puffergröße basierend auf den Metadaten dieser Datei. Da ein Angreifer die Abmessungen in diesen Metadaten beliebig festlegen kann, ist es möglich, dass GIMP einen zu kleinen Puffer bereitstellt. Die Folge ist ein klassischer Pufferüberlauf.
Was bedeutet das konkret für dich? Im schlimmsten Fall kann ein Angreifer durch diesen Pufferüberlauf eigenen Schadcode auf deinem System ausführen, sobald du eine präparierte ICO-Datei mit GIMP öffnest. Das Programm würde abstürzen und gleichzeitig könnte der eingeschleuste Code im Hintergrund aktiv werden.
Wann kommt die Lösung?
Die gute Nachricht: Die Entwickler haben das Problem bereits erkannt und im öffentlichen Quellcode behoben. Die schlechte Nachricht: Ein offizielles Update, das die Schwachstelle schließt, steht noch nicht zur Verfügung.
Die GIMP-Entwickler haben sich bewusst für diesen Weg entschieden. Sie erklären ihr Vorgehen damit, dass sie zunächst die Öffentlichkeit über das Risiko informieren wollten, bevor eine vollständig korrigierte Version verfügbar ist. Der Grund: Potenzielle Angreifer können die öffentlich einsehbaren Code-Korrekturen (Commits) analysieren, um herauszufinden, wie man die Schwachstelle ausnutzen kann.
Das nächste Update mit der Versionsnummer 3.0.4 soll die Sicherheitslücke beheben. Allerdings wird dieses Update neben dem Fix auch weitere umfangreiche Änderungen beinhalten, weshalb die Entwickler keine vorschnelle, halbfertige Version veröffentlichen möchten.
Was kannst du tun?
Bis ein offizielles Update verfügbar ist, solltest du äußerst vorsichtig sein und keine ICO-Dateien aus unbekannten Quellen mit GIMP öffnen. Wenn du Icon-Dateien bearbeiten musst, verwende nur solche, die du selbst erstellt hast oder deren Herkunft du absolut vertrauen kannst.
Falls du noch eine ältere GIMP-Version der 2.x-Reihe nutzt, bist du leider nicht außer Gefahr. Die ZDI-Forscher haben auch in diesen Versionen Sicherheitslücken entdeckt, beispielsweise beim Öffnen von XWD-Dateien (CVE-2025-2760). Diese Schwachstelle funktioniert ähnlich wie das aktuelle Problem, wurde jedoch in GIMP 3.0 bereits behoben.
Hintergrund zu GIMP
GIMP, das für „GNU Image Manipulation Program“ steht, hat sich seit seiner ersten Veröffentlichung im Jahr 1998 zu einer der beliebtesten kostenlosen Open-Source-Alternativen für professionelle Bildbearbeitungsprogramme entwickelt. Das Programm ist für verschiedene Betriebssysteme verfügbar, darunter Linux, Windows und macOS.
Die Veröffentlichung von GIMP 3.0 Mitte März 2025 war ein bedeutender Meilenstein in der Entwicklung des Programms. Nur eine Woche später folgte mit Version 3.0.2 bereits ein erster Bug-Fix. Trotz der nun entdeckten Sicherheitslücke bleibt GIMP eine leistungsstarke Option für alle, die eine umfangreiche Bildbearbeitungssoftware ohne teure Lizenzkosten suchen.
Fazit
Die Entdeckung dieser Sicherheitslücke unterstreicht, wie wichtig es ist, auch bei etablierter Open-Source-Software vorsichtig zu sein, wenn es um das Öffnen von Dateien aus unbekannten Quellen geht. Halte deine Software stets aktuell und informiere dich regelmäßig über neue Sicherheitsupdates.
Sobald GIMP 3.0.4 mit dem Fix für die ICO-Schwachstelle verfügbar ist, werde ich hier auf Addis Techblog darüber berichten. In der Zwischenzeit empfehle ich besondere Vorsicht beim Umgang mit Icon-Dateien in GIMP 3.0.2.
Die Situation erinnert uns daran, dass selbst vertrauenswürdige Software nicht vor Sicherheitslücken gefeit ist. Durch verantwortungsbewusstes Verhalten kannst du jedoch das Risiko deutlich minimieren.
