Sicherheitsexperten von Kroll, einem Anbieter von Risiko- und Finanzberatungslösungen, haben eine Sicherheitslücke in Ghostscript gefunden, über die sich Code ausführen lässt. Das macht auch Programme, die Ghsotscript nutzen angreifbar, etwa LibreOffice.
Ghostscript ist ein Open-Source-Interpreter für die PostScript-Sprache und PDF-Dateien, der häufig unter Linux zum Einsatz kommt und von vielen Programmen wie etwa LibreOffice und Inkscape genutzt wird. Auch der Windows-Port sei damit betroffen., heißt es weiter. Das Problem steckt in Ghostscript vor Version 10.01.2, teilen die Kroll-Experten mit. Die Schwachstelle lasse sich bereits beim Öffnen einer Datei ausnutzen.
Erfolgreicher Exploit in LibreOffice. Quelle: Kroll
Die Sicherheitslücke CVE-2023-36664 sei mit einem CVSS-Score von 9,8 bewertet und könnte die Ausführung von Code ermöglichen, wenn Ghostscript die Validierung von Berechtigungen für Pipe-Geräte (mit dem Präfix %pipe% oder | pipe) falsch handhabe, haben die Experten herausgefunden. In ihrem Beitrag zur Lücke ist ein Proof-of-Concept beschrieben. Es sei dringend angeraten, Ghsotscript auf das aktuelle Patchelevel zu bringen, schreiben die Experten.
