Новости
ClamAV 1.5.3: закрыты уязвимости в парсерах файлов
Обновление антивирусного движка устранило ошибки разбора форматов, через которые можно было обрушить проверку файлов.
Популярный бесплатный графический редактор GIMP снова оказался в центре внимания исследователей безопасности: раскрыта ошибка, которая срабатывает при открытии специально подготовленного файла в формате PSP от Paint Shop Pro. Разбираем, что это за уязвимость, кому она грозит и что делать пользователям.

Коротко: 2 июля 2026 обнародована уязвимость CVE-2026-58381 в редакторе GIMP — двойное освобождение памяти (double-free) в функции read_layer_block() при разборе PSP-файла Paint Shop Pro. Рейтинг — 6.1 из 10 (средний). Для атаки нужно, чтобы жертва открыла вредоносный файл в GIMP; исправление уже внесено в исходный код редактора. Обновите GIMP до последней версии.
2 июля 2026 года в базу данных уязвимостей NVD была добавлена запись CVE-2026-58381, описывающая ошибку в парсере формата PSP графического редактора GIMP. По классификации это двойное освобождение памяти (double-free, CWE-415): программа дважды вызывает освобождение одного и того же участка памяти при разборе специально сформированного PSP-файла. Такое состояние ведёт к повреждению кучи (heap) и, по описанию, может закончиться отказом приложения или, в худшем случае, выполнением произвольного кода.
Уязвимость получила базовую оценку 6.1 балла из 10 по шкале CVSS 3.1 — это средний уровень опасности. Вектор (AV:L/AC:L/PR:L/UI:R) показывает ключевую деталь: атака локальная и требует действия пользователя — жертва должна сама открыть подготовленный файл в GIMP. Проблему зарегистрировал исследователь под ником bb1abu, а отслеживанием и уведомлением дистрибутивов занялась команда безопасности Red Hat.
Показательно, что PSP-парсер оказался не единственной находкой в GIMP этим летом. В той же серии июльских записей раскрыта и CVE-2026-58384 — целочисленное переполнение в разборе PSD-файлов Adobe Photoshop. Обе ошибки объединяет один класс проблем — небезопасный разбор чужих графических форматов.
PSP (расширения .psp и .pspimage) — это «родной» формат редактора Paint Shop Pro, коммерческого графического пакета, исторически популярного как более простая альтернатива Photoshop. Как и PSD, он хранит многослойное изображение со всеми правками, а не «плоскую» картинку.
GIMP — бесплатный кроссплатформенный редактор с открытым исходным кодом — умеет импортировать такие файлы через встроенный плагин (plug-ins/common/file-psp.c), чтобы пользователь мог открыть чужой макет, не покупая Paint Shop Pro. Именно этот код-импортёр и содержит ошибку. Ситуация типична: уязвимости в графических программах часто прячутся не в основном движке, а во второстепенных парсерах «неродных» форматов, которые тестируются заметно реже.
Любая программа, которая открывает файл, сначала должна его «разобрать» — прочитать структуру и заголовки. Ошибка в этом разборе превращает безобидный на вид файл в потенциальное оружие. Поэтому уязвимости регулярно находят не только в редакторах, но и в архиваторах, PDF-читалках и антивирусах — см. недавнюю новость об уязвимостях в парсерах файлов ClamAV.
По разбору, опубликованному в трекере проекта GNOME/GIMP, ошибка возникает в функции read_layer_block(), которая читает блоки слоёв внутри PSP-файла. При обработке файла с несколькими под-блоками слоёв указатель на имя (name) не сбрасывается в NULL на каждой итерации цикла. Если дальше срабатывает ветка обработки ошибки, «висячий» указатель из предыдущего шага освобождается повторно — то самое двойное освобождение.
read_layer_block().Рекомендованное разработчиками исправление простое и уже внесено в исходный код проекта (соответствующий коммит опубликован в репозитории GNOME/GIMP): указатель name инициализируется значением NULL в начале каждой итерации, а освобождение памяти вызывается только для ненулевого указателя. Точный номер стабильной версии с патчем на момент публикации в записи NVD не зафиксирован, поэтому ориентир для пользователей — устанавливать самую свежую доступную сборку GIMP.
Средний рейтинг и обязательное открытие файла вручную означают, что это не «червь», распространяющийся сам по себе. Но правило прежнее: подозрительные графические файлы из непроверенных источников (особенно экзотические .psp) лучше не открывать в редакторе «на посмотреть».
Под угрозой — пользователи GIMP, которым присылают или предлагают скачать PSP-файлы: дизайнеры, ретушёры, а также все, кто по привычке открывает в GIMP любые графические вложения. Отдельно уязвимость важна для дистрибутивов Linux: пакет GIMP входит в Red Hat Enterprise Linux 7, 8 и 9, поэтому обновления придут и через штатные репозитории системы.
Для обычной работы с файлами вывод повторяет знакомое правило: формат сам по себе не «безопасный» или «опасный» — риск создаёт программа, которая его открывает, и её актуальность. GIMP открывает десятки графических форматов, от RAW-снимков с камеры до векторных SVG, и каждый парсер — отдельная поверхность атаки. Общие принципы безопасной работы с загрузками и вложениями мы собрали в разделе безопасность файлов; там же — почему нельзя доверять расширению файла на слово.
Если же вам просто нужно открыть чужой графический макет, а держать редактор всегда обновлённым не всегда удобно, помните про альтернативу — онлайн-просмотрщики и конвертеры, которые не запускают исполняемый код на вашем компьютере. Ориентироваться, чем открыть тот или иной формат, помогает наш каталог форматов изображений.
Обновление GIMP бесплатное и не меняет привычный интерфейс. По сути это ещё один повод относиться к графическому редактору так же серьёзно, как к браузеру или архиватору: через него тоже проходят чужие файлы, а значит, он остаётся мишенью для атак.