我已经建议在GIMP 2.8.14软件上找到安全问题。可以在此处找到漏洞描述:Vulnerability Description
此处的CVE:CVE-2016-4994
当我被告知这个漏洞时,我也被告知了一个解决方案,即更新软件,并在该建议中将特定版本发送给我。问题是升级仅适用于Linux,我们在Windows上有GIMP。
您是否了解2.8.16版本(我们拥有的版本)上此漏洞的风险?如果存在风险,您是否知道要避免这种情况的正确行动?
我还没有在Windows上找到关于GIMP的任何内容,所有解决方案都是针对Linux设置的。
事先谢谢。
答案 0 :(得分:1)
GIMP的新版本2.8.18修复了此漏洞。查看以下文件中的续签说明:http://www.gimp.org/news/2016/07/14/gimp-2-8-18-released/
然而,我并不认为这是一个大问题。
GIMP并不意味着"安全软件" - 它作为用户处理器运行,并且必须处理数十种文件格式,每种格式都能够具有多达数百种不同的数据结构。它使用第三方库来处理其中一些数据格式。
人们不能期望任何版本的GIMP在打开文件时安全,并且该文件执行任意代码,具有程序本身具有的相同权限。虽然这个特殊漏洞讲述了GIMP的本机XCF文件,可以在这方面修复,但可以简单地打开一个postscript文件,根据定义,它是一个完整的程序 - 将任意运行代码,即使是格式良好的图像。在大多数情况下,正在使用的postcript库应该对正在运行的程序进行沙盒化并防止它访问文件系统,但它仍然能够将CPU用作DoS攻击。
由您的操作系统来控制用户应用程序可以访问的资源。如果操作系统很紧张,GIMP中的漏洞不会提供权限提升。甚至可以使用更细粒度的安全功能(例如SELinux)来进一步限制应用程序访问。
至于GIMP,2.8.18版本从昨天开始 - 如果这个特定问题被标记为已修复,你应该尝试抓住那个。