我已经建议在软件GIMP 2.8.14上发现安全问题 . 漏洞描述可在此处找到:Vulnerability Description
和CVE在这里:CVE-2016-4994
当我被告知这个漏洞时,我也被告知了一个解决方案,即通过该建议发送给我的特定版本的软件更新 . 问题是升级仅适用于Linux,我们在Windows上有GIMP .
您是否了解2.8.16版本(我们拥有的版本)上此漏洞的风险?如果存在风险,您是否知道要避免这种情况的正确行动?
我还没有在Windows上找到关于GIMP的任何内容,所有解决方案都是针对Linux设置的 .
先谢谢 .
1 回答
GIMP的新版本2.8.18修复了此漏洞 . 查看以下的续签说明:http://www.gimp.org/news/2016/07/14/gimp-2-8-18-released/
但是,我不认为这是一个大问题 .
GIMP并不是“安全软件” - 它作为用户处理器运行,必须处理数十种文件格式,每种格式都能够拥有多达数百种不同的数据结构 . 它使用第三方库来处理其中一些数据格式 .
一个可以_22333337_的本机XCF文件,可以在这方面修复,可以简单地打开一个postscript文件,根据定义,它是一个完整的程序 - 并且将运行任意代码,即使对于格式良好的图像 . 在大多数情况下,正在使用的postcript库应该对正在运行的程序进行沙盒化并防止它访问文件系统,但它仍然可以将CPU用作DoS攻击 .
您的操作系统可以控制用户应用程序可以访问的资源 . 如果操作系统很紧张,GIMP中的漏洞将不会提供权限提升 . 甚至可以使用更细粒度的安全功能(例如SELinux)来进一步限制应用程序访问 .
至于GIMP,2.8.18版本从昨天开始 - 如果这个特定问题被标记为固定,你应该尝试 grab 那个 .