Se ha anunciado una vulnerabilidad en GIMP (GNU Image Manipulation Program) que podría permitir la ejecución de código arbitrario.
GIMP (GNU Image Manipulation Program) es un conocido programa libre y
gratuito para edición y manipulación de gráficos e imágenes en forma de mapa de
bits, tanto dibujos como fotografías. Está disponible para un gran número de
sistemas operativos, como Unix, GNU/Linux, FreeBSD, Solaris, Microsoft Windows
y Mac OS X, entre otros.
El problema, con CVE-2016-4994, reside en el tratamiento de archivos XCF de forma que cuando el usuario lo abra provoque un error de uso de memoria después de liberarla al analizar los canales y las propiedades de las capas. La vulnerabilidad podría permitir la ejecución de código arbitrario en los sistemas afectados, con los privilegios del usuario atacado.
Recomendación
- Se ha publicado una actualización en forma de código disponible desde https://git.gnome.org/browse/gimp/commit/?id=e82aaa4b4ee0703c879e35ea9321fff6be3e9b6f
Ubuntu ha publicado actualizaciones de los paquetes de GIMP en:
- Ubuntu 15.10:https://launchpad.net/ubuntu/+source/gimp/2.8.14-1ubuntu2.1
- Ubuntu 14.04 LTS: https://launchpad.net/ubuntu/+source/gimp/2.8.10-0ubuntu1.1
- Ubuntu 12.04 LTS: https://launchpad.net/ubuntu/+source/gimp/2.6.12-1ubuntu1.4
Más información:
- (CVE-2016-4994) Multiple Use-After-Free when parsing XCF channel and layer properties https://git.gnome.org/browse/gimp/commit/?id=e82aaa4b4ee0703c879e35ea9321fff6be3e9b6f
- USN-3025-1: GIMP vulnerability http://www.ubuntu.com/usn/usn-3025-1/