ソフトウェアGIMP 2.8.14に記載されているセキュリティ上の問題を報告しました。脆弱性の説明はここで見つけることができます:Vulnerability DescriptionGIMP 2.8.14(Windows)の脆弱性が発見されました
そしてここCVE:CVE-2016-4994私はこの脆弱性の助言された
、私はまた、ソリューションについて助言された、に送られた特定のバージョンのソフトウェアを更新です私はそれを助言する。問題は、アップグレードはlinuxでのみ利用可能であり、我々はWindows上でGIMPを使用していることです。
2.8.16バージョン(これは私たちが持っているバージョン)でこの脆弱性の危険性について知っていますか?リスクがある場合、それを避けるための適切な行動を知っていますか?
Windows上でGIMPを見つけられませんでした。すべての解決策はLinux用に設定されています。
ありがとうございます。
GIMPの新しいバージョン2.8.18がこの脆弱性を修正しました。関連するノートを確認してください:http://www.gimp.org/news/2016/07/14/gimp-2-8-18-released/
しかし、私は大きな問題ではありません。
GIMPはユーザプロセッサとして動作し、数百の異なるデータ構造を持つことができる数十のファイルフォーマットに対応しなければならない "安全なソフトウェア"であることを意図していません。サードパーティライブラリを使用して、これらのデータ形式の一部を処理します。
GIMPの任意のバージョンがファイルを開くことに対して安全であると期待することはできません。そのファイルには、プログラム自体と同じ権限で、任意のコードを実行させるようにしてください。この特定の脆弱性はGIMPのネイティブXCFファイルについて言及していますが、その点では修正されるかもしれませんが、定義ファイルである追記ファイルを開くだけです。は、ほとんどの場合、使用されているポストスクリプトライブラリは実行中のプログラムをサンドボックスして、ファイルシステムにアクセスできないようにする必要がありますが、CPUをDoS攻撃として使用することは可能です。
ユーザアプリケーションがアクセスできるリソースを制御するのはOSによって異なります。 OSが緊急の場合、GIMPの脆弱性は特権の昇格を提供しません。また、アプリケーションのアクセスをさらに制限するために、細かいセキュリティ機能(SELinuxなど)を使用することもできます。
GIMPに関しては、2.8.18バージョンは昨日時点でありません。この特定の問題が修正済みとマークされている場合は、そのバージョンを取得してください。
あなたの答えをありがとう。私はOSの保証に関連するあなたの勧告、そして2.8.18のバージョンの事柄に従おうとします。 OSを確実にする問題は、Linuxではなく、Windowsであり、そのOSの管理や管理は、Linuxよりも複雑です。おそらく、私たちのバージョンをアップグレードする方がより良い、達成可能なソリューションになるでしょう。再度、感謝します。 –