GIMP の RCE 脆弱性 CVE-2025-2760/2761 が FIX:2025年3月にすでに FIX

GIMP Image Editor Vulnerability Let Remote Attackers Arbitrary Code

2025/05/27 CyberSecurityNews — 人気の画像編集ソフト GIMP に、2つの重大なセキュリティ脆弱性が発見された。これらの脆弱性の悪用に成功したリモート攻撃者は、影響を受けるシステム上での任意のコード実行の可能性を手にする。これらの脆弱性 CVE-2025-2760/CVE-2025-2761 は、バージョン 3.0.0 未満の GIMP に影響する。いずれの脆弱性も、悪意のファイルのオープンや、侵害済み Web ページへの訪問といった、ユーザーの操作を必要とする。

これらの脆弱性は、 セキュリティ研究者 Michael Randrianantenaina により発見され、Zero Day Initiative (ZDI) を介して 2025年4月7日に公開された。

これらの脆弱性は、CVSS v3.0 スコア 7.8 (High) と評価され、ベクター文字列としては、AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H が割り当てられている。それが示すのは、システムの機密性/完全性/可用性に対する、重大な影響を及ぼす可能性である。

CVE-2025-2760
XWD ファイル解析における整数オーバーフローの脆弱性

脆弱性 CVE-2025-2760 は、GIMP の XWD ファイル解析機能における、ユーザーからの入力データに対する不十分な検証に起因する。それにより、メモリ割り当て前に、整数オーバーフローが発生する可能性がある。

この問題は、X Window Dump (XWD) ファイルの解析中に発生する。具体的に言うと、適切な入力検証が行われていないため、メモリ割り当てが行われる前に、攻撃者に対してデータ構造の不正ま操作を許すことになる。

この整数オーバーフローの問題を悪用する攻撃者は、カレントの GIMP プロセス内で任意のコードを実行し、そのユーザーの権限が高ければ、システム全体の侵害にいたる可能性も生じる。

CVE-2025-2761
FLI ファイル処理における境界外書き込みの脆弱性

脆弱性 CVE-2025-2761 は、GIMP の FLI ファイル解析メカニズムに影響を及ぼし、境界外書き込みの問題を引き起こす。

この脆弱性は、FLI ファイルの処理中の、ユーザーが提供するデータへの不十分な検証により発生する。その結果として、割り当てられたメモリ・バッファの境界を越えた、書き込み操作が引き起こされる可能性がある。

脆弱性 CVE-2025-2761 は、 2025年3月9日付けでベンダーに報告された。攻撃者が作成する悪意の FLI (FLIC animation) ファイルを、GIMP が処理する際に、境界外書き込みが発生する可能性がある。

この脆弱性の悪用に成功した攻撃者は、カレント・プロセスのコンテキストでリモート・コード実行を達成し、その GIMP プロセスのユーザーと同じ権限を取得するとされる。

緩和策 

これらの脆弱性は、情報公開の約3週間前となる 2025年3月16日にリリースされた、GIMP バージョン3.0.0 で修正されている。

この修正バージョンでは、ファイル解析ルーチンにおける整数オーバーフローや範囲外書き込み操作を防ぐための、適切な入力検証メカニズムが実装されている。

すでに各ベンダーは、それぞれのディストリビューション向けのパッチをリリースしている:

  • SUSE:2025年5月13日に、SUSE Linux Enterprise Server 環境向けの CVE-2025-2761 を対象とした、セキュリティ・アップデートをリリース。
  • Amazon Linux:これら2件の脆弱性について、セキュリティ・アドバイザリ上で分類を行った。Amazon Linux 2 の GIMP Extra パッケージに関しては、影響なし (Not Affected) としている。

ユーザーに強く推奨されるのは、GIMP 3.0.0 以降へと速やかにアップグレードし、これらの脆弱性を軽減することである。

これらの脆弱性への攻撃は、いずれもユーザーの操作が成立の前提となっている。組織においては、信頼できない画像ファイルを開くことのリスクについて、ユーザーに教育を行うセキュリティ意識向上トレーニングを実施することも有効だ。

GIMPって、GNU Image Manipulation Program の略なのですね。Wikipedia で調べてみて、初めて知りました。Windows/Linux/Mac などのプラットフォーム上で、BMP/JPEG/PNG/GIF/TIFF/HEIF などをサポートするとのことです。ご利用のチームは、ご注意ください。