Des vulnérabilités dans le traitement de certains formats de fichiers par GIMP pourraient permettre à des cybercriminels d’infiltrer des logiciels malveillants sur les ordinateurs. Une version sécurisée de l’application est maintenant disponible en téléchargement.
Risques identifiés
Des chercheurs en sécurité de la Zero Day Initiative de Trend Micro ont répertorié ces failles sur leur portail. Selon les alertes relatives aux vulnérabilités (CVE-2026-2044, CVE-2026-2045, CVE-2026-2047, CVE-2026-2048), des attaquants à distance pourraient exploiter ces points faibles pour lancer des attaques à l’aide de code malveillant. Il n’est pas précisé si tous les systèmes d’exploitation sont concernés.
Ces vulnérabilités se manifestent lors du traitement de fichiers ICNS, PGM ou XWD, entraînant ainsi des erreurs de mémoire qui permettent l’introduction de code malveillant sur les PC. Toutefois, cela nécessite que les attaquants parviennent à tromper les utilisateurs en leur faisant ouvrir des fichiers manipulés ou en mettant ces fichiers en téléchargement sur des sites qu’ils contrôlent.
À ce stade, aucune preuve ne montre que ces failles sont actuellement exploitées. Les chercheurs n’ont pas fourni d’indices pour détecter les systèmes déjà compromis.
Contexte
La Zero Day Initiative a signalé ces failles aux développeurs de GIMP en novembre dernier, et les alertes ont été publiées récemment. Le changelog concernant la version 3.0.8 de GIMP, publié fin janvier, indique que les développeurs ont corrigé les problèmes de sécurité. Il est donc recommandé aux utilisateurs de s’assurer qu’ils ont au moins cette version installée.
En octobre 2025, GIMP avait également été sous les projecteurs pour avoir corrigé des vulnérabilités liées à des codes malveillants.
Points à retenir
- Des vulnérabilités dans GIMP peuvent permettre des attaques via du code malveillant.
- Les failles touchent les formats ICNS, PGM et XWD.
- Aucune preuve d’exploitation active des failles n’a été rapportée.
- Les utilisateurs sont invités à mettre à jour vers la version 3.0.8 ou supérieure.
- Ces failles ont été signalées aux développeurs en novembre de l’année dernière.
Il est essentiel de comprendre que la cybersécurité est un enjeu qui nous touche tous. En tant qu’utilisateurs de logiciels courants comme GIMP, nous devons rester vigilants et toujours maintenir nos logiciels à jour. Cela soulève également des questions sur la responsabilité des développeurs dans la gestion de la sécurité de leurs produits. Que pensez-vous des mesures à mettre en place pour mieux protéger les utilisateurs contre ce type de vulnérabilités ?