我已经告知了在软件 GIMP 2.8.14 上发现的安全问题。漏洞描述可在此处找到:漏洞描述
这里的CVE:CVE-2016-4994
当我被告知该漏洞时,我还被告知一个解决方案,即使用该建议中发送给我的特定版本更新软件。问题是升级仅适用于linux,我们在Windows上有GIMP。
您是否知道2.8.16版本(我们拥有的版本)上此漏洞的风险?如果有风险,你知道避免风险的正确行动吗?
我还没有在Windows上找到任何关于GIMP的信息,所有的解决方案都是为Linux设置的。
事先谢谢。
GIMP的新版本2.8.18修复了这个漏洞。在以下位置查看发布说明:http://www.gimp.org/news/2016/07/14/gimp-2-8-18-released/
但是,我认为这根本不是一个大问题。
GIMP并不意味着是"安全软件" - 它作为用户处理器运行,并且必须处理数十种文件格式,每种文件格式都可以具有多达数百种不同的数据结构。它使用第三方库来处理其中一些数据格式。
人们不能指望任何版本的 GIMP 都可以安全地打开文件并让该文件执行任意代码,具有与程序本身相同的权限。虽然这个特殊的漏洞说明了GIMP的本机XCF文件,可以在这方面得到修复,但人们可以简单地打开一个postscript文件,根据定义,它是一个完整的程序 - 并且将运行任意代码,即使对于格式良好的图像也是如此。在大多数情况下,正在使用的 postcript 库应该对正在运行的程序进行沙盒处理,并阻止它访问文件系统,但它仍然可以使用 CPU 作为 DoS 攻击。
由操作系统控制用户应用程序可以访问哪些资源。如果操作系统很紧,GIMP 中的漏洞不会提供权限提升。甚至可以使用更细粒度的安全功能(例如 SELinux)来进一步限制应用程序访问。
至于GIMP,2.8.18版本从昨天开始发布 - 如果这个特定问题被标记为已修复,你应该尝试抓住那个。