Grafikprogramm GIMP mit kritischer Lücke – patchen!

19. März 2026

In der neuen Gimp-Version 3.2 schliessen die Entwickler auch zwei hochriskante Schadcode-Lücken. Nutzer sollten rasch aktualisieren.

Am Wochenende hat das Gimp-Projekt die Version 3.2 des mächtigen und quelloffenen Grafikprogramms veröffentlicht. Die neue Fassung bringt aber nicht nur neue und verbesserte Funktionen für Künstler, sondern stopft auch als hochriskant eingestufte Sicherheitslücken.

Die Zero Day Initiative (ZDI) von Trend Micro (nun unter dem Namen „TrendAI“ in dem Unternehmen aufgehängt) hat zwei Sicherheitslücken in den Parsern für bestimmte Bildformate gemeldet. Bei der Verarbeitung von LBM-Dateien – eine Variante des Amiga Interchange File Formats – können Angreifer mit manipulierten Bilddateien einen Pufferüberlauf auf dem Heap provozieren. Der Code kopiert Daten aus den Dateien in einen Zielpuffer, ohne zuvor deren Länge korrekt zu prüfen. Die Lücke ermöglicht die Ausführung von eingeschleustem Code im Kontext des Gimp-Prozesses (CVE-2026-2046, CVSS 7.8, Risiko „hoch“).

Die zweite Schwachstelle betrifft die Verarbeitung von Bildern mit hohem Dynamikumfang (HDR). Die Behandlung des RGBE-Formats, das Farbinformationen in 32-Bit-Fliesskomma speichert, patzt ebenfalls bei der Längenprüfung von Nutzerdaten vor dem Kopieren in einen Heap-Puffer. Auch hier können bösartige Akteure mit sorgsam präparierten Dateien Schadcode einschleusen, der im Kontext des laufenden Prozesses ausgeführt wird (CVE-2026-2049, CVSS 7.8, Risiko „hoch“).

Jetzt aktualisieren

Wer bislang mit dem Update auf Gimp 3.2 gewartet hat, da es vermeintlich lediglich Funktionen verbessert und hinzufügt, sollte jetzt doch nicht länger zögern. Die Aktualisierung auf Gimp 3.2 reduziert die Angriffsfläche für Cyberkriminelle.

Auf der Download-Seite des Gimp-Projekts stehen Installationsdateien für Linux als AppImage für x86_64- und ARM64-Architekturen sowie Verlinkungen zu Flathub und den Snap Store bereit. Ebenso finden macOS-User Installationsdateien für Intel-basierte Systeme und für Apple Silicon – das Projekt weist darauf hin, dass es kein offizielles Paket im Apple App Store anbietet, jedwede Angebote dort stammen von Drittanbietern. Unter Windows empfiehlt sich die Installation aus dem Microsoft Store, da dieser dann auch automatisch Aktualisierungen herunterlädt und installiert. Es gibt jedoch auch einen Direkt-Download, der zudem für 32-bittige x86-CPUs nutzbar ist – zum letzten Mal, ab Gimp 3.2.2 will das Projekt den 32-Bit-Support endgültig beerdigen.

Quelle: PC-Welt

Zurück zu IT-News

Ähnliche Beiträge

  • Was ist Swatting? Einblick in ein Internet-Phänomen (Quelle: TECHBOOK)

    26. Dezember 2025 Wer auch nur halbwegs Inhalte im Internet konsumiert, könnte bereits vom Swatting gelesen oder gehört haben. TECHBOOK erklärt, was es damit auf sich hat – und warum das Phänomen mit dem Tod enden kann. Mit zunehmendem Fortschritt und neuen Technologien kommen nicht nur ständig neue Möglichkeiten auf, den Alltag oder den Beruf zu meistern. Leider finden sich dadurch auch neue Wege für…

  • Französisches Innenministerium gehackt

    17. Dezember 2025 Frankreichs Innenministerium gehackt – offenbar staatliche Akteure The French Interior Minister confirmed on Friday that the country’s Ministry of the Interior was breached in a cyberattack that compromised e-mail servers. While the attack (detected overnight between Thursday, December 11, and Friday, December 12) allowed the threat actors to gain access to some document files, officials have yet to confirm whether data was…

  • Plattform VMWARE ESX über Management-Interface angreifbar

    29. Januar 2026 Das deutsche BSI warnt vor vielen verwundbaren VMware-ESXi-Servern im Netz. Das CERT-Bund des BSI warnt vor rund 2500 aus dem Internet erreichbaren Management-Interfaces von VMware-ESXi-Servern mit Sicherheitslecks. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik untersucht den deutschen Teil des Internets nach verwundbaren Diensten. Dabei kam es in der vergangenen Woche auf rund 2500 verwundbare VMware ESXi-Instanzen, deren Verwaltungsschnittstellen offen aus…

  • Logitech Options+ funktioniert nach Zertifikat-Problem nicht mehr (macOS)

    9. Januar 2026 Logitech’s Options+ and G Hub apps on macOS stopped working after their code-signing certificate expired, leaving users unable to launch them on Apple systems. Options+ is Logitech’s input device configuration app, while G HUB is a similar app focused on customizing compatible Logitech G gaming peripherals. Both allow setting app profiles, button remapping, lighting options, scroll wheel, and sensor sensitivity. Multiple users reported that…

  • Critical Flaw in WordPress Add-on for Elementor

    04. Dezember 2025 Kritische Lücke in Elementor Add-On (WordPress) gefunden Attackers are exploiting a critical-severity privilege escalation vulnerability (CVE-2025–8489) in the King Addons for Elementor plugin for WordPress, which lets them obtain administrative permissions during the registration process.The threat activity started on October 31, just a day after the issue was publicly disclosed. So far, the Wordfence security scanner from Defiant, a company that provides security…

  • CISA warnt vor aktiv ausgenutzter Microsoft Sharepoint-Lücke

    24. März 2026 Ein Leck in Microsofts Sharepoint-Plattform wird aktuell aktiv für Angriffe missbraucht. Entsprechende Sicherheitsupdates hat Microsoft bereits im Januar veröffentlicht. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt einem Bericht von “Bleeping Computer” zufolge vor einer im Januar gepatchten Sharepoint-Sicherheitslücke, die aktuell für Angriffe missbraucht wird. Das unter der Kennung CVE-2026-20963 laufende Leck betrifft Sharepoint Enterprise Server 2016, Sharepoint Server 2019 wie auch die…