Kritische Sicherheitslücke in Ghostscript entdeckt

In Ghostscript ist eine Schwachstelle aufgetaucht, durch die Angreifer Schadcode einschleusen und ausführen können. Das Softwarepaket kann PostScript und PDFs darstellen und ist zu Adobe Acrobat weitgehend kompatibel. Laut der Sicherheitsmeldung des Google-Mitarbeiters Chris Evans wird in der Funktion zseticcspace() der Längenwert in Postscript-Dateien nicht geprüft. Ghostscript übernimmt somit blind die von einem potentiellen Angreifer vorgegebenen Längenwerte eines Arrays, was zu einem stackbasierten Pufferüberlauf führen kann. Entsprechend manipulierte Postscript-Dateien werden z.B. auf Webseiten zum Download angeboten oder als E-Mail-Anhang versendet. Vom Fehler ist Version 8.61 der Software betroffen, eventuell auch ältere Fassungen. Mit Version 8.62 gibt es bereits ein Update, das die Lücke behebt. Zudem stellen die Linux-Distributoren fehlerbereinigte Pakete bereit, die Administratoren so schnell wie möglich einspielen sollten.

0 Kommentar(e)

Zum Posten von Kommentaren bitte