L’édition actuelle de GIMP (version 3.0.2) a une vulnérabilité de sécurité qui pourrait être exploitée pour injecter du code malveillant. Les développeurs ont sorti Gimp 3.0 en mars, puis l’ont suivi une semaine plus tard avec la version 3.0.2. Une mise à jour plus récente n’est pas encore disponible.
Des chercheurs en sécurité de l’Initiative Trend Micro Zero Day (ZDI) ont découvert une vulnérabilité de sécurité dans GIMP 3.0.2, qu’ils ont qualifiée de ZDI-CAN-26752. (Un ID CVE n’est pas encore connu.) Il implique un débordement de tampon potentiel en raison d’une validation insuffisante.
Plus précisément, la vulnérabilité se produit lorsqu’un fichier ICO est beaucoup plus grand que sa taille d’image indiquée. Le créateur d’un fichier ICO peut spécifier toutes les dimensions pour l’image, mais les dimensions réelles peuvent être plus grandes, ce qui se traduit par une taille de tampon calculée trop petite. Lorsque le tampon déborde, le code malveillant intelligemment placé en mémoire peut être exécuté.
Le code défectueux de l’ICO Parser a déjà été corrigé dans le code source accessible au public de l’application d’édition d’image. Cependant, une nouvelle version de GIMP n’a pas encore été mise à disposition. Les développeurs préviennent que les acteurs malveillants peuvent analyser le code source public de Gimp pour trouver et exploiter des vulnérabilités comme celle-ci, vous devez donc être conscient et rester vigilant pendant que la version corrigée de l’application est travaillée. Étant donné que la prochaine édition prévue (version 3.0.4) comprendra de nombreuses autres modifications, les développeurs ne peuvent pas simplement pousser une mise à jour à moitié finis.
Jusque-là, il est préférable de ne pas ouvrir de fichiers ICO à l’aide de GIMP. Cela est vrai que vous soyez sur la nouvelle version 3.x de GIMP ou de l’ancienne version 2.x. Si vous utilisez toujours GIMP 2.X, vous devez également noter que les chercheurs ZDI ont également découvert des vulnérabilités de sécurité, y compris une vulnérabilité qui fonctionne de manière très similaire à celle mentionnée ci-dessus mais a été fixée dans GIMP 3.x.
GIMP signifie GNU Image Manipulation Program. Le logiciel d’édition d’image open-source gratuit est disponible sur Windows, MacOS et Linux, entre autres. GIMP 1.0 a été publié en 1998 et depuis lors, GIMP est devenu une image d’image et de retouche photo capable.
