Grafikprogramm GIMP mit kritischer Lücke – patchen!

19. März 2026

In der neuen Gimp-Version 3.2 schliessen die Entwickler auch zwei hochriskante Schadcode-Lücken. Nutzer sollten rasch aktualisieren.

Am Wochenende hat das Gimp-Projekt die Version 3.2 des mächtigen und quelloffenen Grafikprogramms veröffentlicht. Die neue Fassung bringt aber nicht nur neue und verbesserte Funktionen für Künstler, sondern stopft auch als hochriskant eingestufte Sicherheitslücken.

Die Zero Day Initiative (ZDI) von Trend Micro (nun unter dem Namen „TrendAI“ in dem Unternehmen aufgehängt) hat zwei Sicherheitslücken in den Parsern für bestimmte Bildformate gemeldet. Bei der Verarbeitung von LBM-Dateien – eine Variante des Amiga Interchange File Formats – können Angreifer mit manipulierten Bilddateien einen Pufferüberlauf auf dem Heap provozieren. Der Code kopiert Daten aus den Dateien in einen Zielpuffer, ohne zuvor deren Länge korrekt zu prüfen. Die Lücke ermöglicht die Ausführung von eingeschleustem Code im Kontext des Gimp-Prozesses (CVE-2026-2046, CVSS 7.8, Risiko „hoch“).

Die zweite Schwachstelle betrifft die Verarbeitung von Bildern mit hohem Dynamikumfang (HDR). Die Behandlung des RGBE-Formats, das Farbinformationen in 32-Bit-Fliesskomma speichert, patzt ebenfalls bei der Längenprüfung von Nutzerdaten vor dem Kopieren in einen Heap-Puffer. Auch hier können bösartige Akteure mit sorgsam präparierten Dateien Schadcode einschleusen, der im Kontext des laufenden Prozesses ausgeführt wird (CVE-2026-2049, CVSS 7.8, Risiko „hoch“).

Jetzt aktualisieren

Wer bislang mit dem Update auf Gimp 3.2 gewartet hat, da es vermeintlich lediglich Funktionen verbessert und hinzufügt, sollte jetzt doch nicht länger zögern. Die Aktualisierung auf Gimp 3.2 reduziert die Angriffsfläche für Cyberkriminelle.

Auf der Download-Seite des Gimp-Projekts stehen Installationsdateien für Linux als AppImage für x86_64- und ARM64-Architekturen sowie Verlinkungen zu Flathub und den Snap Store bereit. Ebenso finden macOS-User Installationsdateien für Intel-basierte Systeme und für Apple Silicon – das Projekt weist darauf hin, dass es kein offizielles Paket im Apple App Store anbietet, jedwede Angebote dort stammen von Drittanbietern. Unter Windows empfiehlt sich die Installation aus dem Microsoft Store, da dieser dann auch automatisch Aktualisierungen herunterlädt und installiert. Es gibt jedoch auch einen Direkt-Download, der zudem für 32-bittige x86-CPUs nutzbar ist – zum letzten Mal, ab Gimp 3.2.2 will das Projekt den 32-Bit-Support endgültig beerdigen.

Quelle: PC-Welt

Zurück zu IT-News

Ähnliche Beiträge

  • Wieder gefährliche Android-Lücke aufgetaucht – jetzt patchen!

    17. März 2026 Android-Smartphones diverser Hersteller weisen eine heikle Schwachstelle auf. Wer ein Gerät mit einem MediaTek-Chip besitzt, sollte umgehend updaten, um sich vor Angriffen zu schützen. Dieser Chipsatz war bereits des öfteren wegen Schwachstellen in den Schlagzeilen. Millionen Android-Smartphones laufen in diesem Moment Gefahr, von Angreifern gehackt zu werden. Das berichtet Android Authority und beruft sich dabei auf einen Bericht der Sicherheitsforscher der Firma Donjon. Für…

  • Brickstorm – kritische Lücke in VMWARE ESX

    08. Dezember 2025 Die CISA und die NSA warnen vor einem hochentwickelten Angriff auf Technik von VMware, mit dem sich Akteure aus China einen dauerhaften Zugang sichern könnten (VMWARE ESX) Die Cybersicherheitsagenturen der USA und Kanadas sowie die NSA warnen vor einem hochentwickelten Angriff auf VMware vSphere, bei dem sich Akteure in Diensten der Volksrepublik China dauerhafte Zugriffe auf Systeme von Regierungen und IT-Firmen sichern. Die…

  • Der Ausfall des “Schweizer” Webhosters Webland – eine Analyse

    23. Dezember 2025 Wie der Ausfall vom “Schweizer” Webhoster Webland manche Firmen an den Rand ihrer Existenz brachte Auch meine Frau und ich wurden Opfer des wochenlangen Totalausfalls vom Schweizer Webhoster Webland. Einschlägige Berichte dazu gab es zahlreiche und sogar ‘Radio SRF’ widmete dem Crash einen eigenen Beitrag mit dem Titel “Viele Schweizer KMU tagelang per Mail nicht erreichbar”. Glücklicherweise nutze ich den DNS-Dienst von…

  • Avira Virenschutz hat hochkritische Schwachstellen – jetzt patchen!

    10. März 2026 Drei hochriskante Sicherheitslücken in Avira Antimalware ermöglichen Angreifern etwa das Ausführen von Code mit Systemrechten. IT-Forscher haben in Aviras Antimalware-Software Sicherheitslücken entdeckt, durch die Angreifer verwundbare Systeme kompromittieren können. Dazu müssen sie teils lediglich Dateien an bestimmte, von Nutzern und Nutzerinnen zugreifbare Orte im Dateisystem ablegen, was zur Ausführung von beliebigem Code mit Systemrechten führt. Konkret führen die Quarkslab-Analysten die Schwachstellen anhand der kostenlosen…

  • Die neuen Samsung A37 und A57-Smartphones!

    26. März 2026 Samsung hat seine neue Mittelklasse-Smartphones vorgestellt. Welches der neuen Mittelklasse-Smartphones ist im Jahr 2026 die bessere Wahl – das Samsung Galaxy A57 5Goder das A37 5G? Samsung hat das Galaxy A37 5G und das Galaxy A57 5G vorgestellt. Beide Smartphones markieren Samsungs jüngsten Vorstoss auf dem Markt für Mittelklasse-Smartphones – doch welches Modell ist die bessere Wahl? Kurzinfo: Das Samsung Galaxy A57 5G…

  • RAM-Speicherpreise explodieren

    20. Januar 2026 Die Speicherkrise im Jahr 2026 sorgt für ungewöhnliche Markt­be­we­gun­gen. Da DDR5-RAM kaum bezahlbar ist, weichen chi­ne­si­sche Nut­zer in grosser Zahl jetzt sogar auf DDR3 aus. Die Ab­satz­zah­len für entsprechende Mainboards haben sich vervielfacht. Das Jahr 2026 startet mit einer grossen Marktverschiebung. So steht mit DDR5 eigentlich ein schneller Speicher zur Verfügung. Doch in den letzten Wochen rücken aufgrund von explodierenden Preise immer…