Die IT-Forscher von Kroll haben eine Sicherheitslücke in Ghostscript entdeckt, die beim Öffnen von Dokumenten zum Starten von eingeschleusten Schadcode führen kann. Sie haben dazu auch einen Demo-Exploit (Proof of Concept, PoC) entwickelt. IT-Verantwortliche sollten bereitstehende Sicherheitsupdates zügig installieren.

Ghostscript ist eine populäre Software zum Anzeigen und Erzeugen etwa von Postscript- oder PDF-Dateien und insbesondere im Linux-Umfeld bekannt. Etwa das CUPS-Drucksystem setzt bei den Filtern darauf. Aber auch LibreOffice, Inkscape oder Scribus sowie ImageMagick nutzen die Software. Deren Windows-Ports bringen daher oftmals eine Windows-Version von Ghostscript mit.

Ghostscript: Kritische Lücke betrifft viele Systeme

In ihrer Analyse schreiben die Kroll-Mitarbeiter, dass Ghostscript eine Rechteprüfung für Pipe-Devices, also solchen, die mittels %pipe% oder besser bekannt mit dem Pipe-Zeichen "|" darauf zugreifen, nicht korrekt vornehme (CVE-2023-36664, CVSS 9.8, Risiko "kritisch"). Der Fehler tritt in Ghostscript vor Version 10.01.2 auf.

Da die Sicherheitslücke durch das Öffnen von präparierten Dokumenten missbraucht werden kann, sollten Empfänger von unverlangt zugesandten Dateien Vorsicht walten lassen. Administratoren und Nutzer sollten Ghostscript aktualisieren. Debian stellt etwa fehlerbereinigte Pakete bereit, andere Distributionen ebenfalls. Kroll empfiehlt Anbietern von Software, die Ghostscript mitbringt, ebenfalls aktualisierte Fassungen herauszugeben. Nutzer solcher Programme wie die vorgenannten ImageMagick, LibreOffice, Inkscape, Scribus und ähnlichen sollten ebenfalls nach Updates der Software Ausschau halten und so schnell wie möglich installieren.

Es handelt sich bei der Lücke um ein weiteres Beispiel für Sicherheitsprobleme in der Softwarelieferkette (Supply-Chain). Ein Artikel der iX erläutert, wie IT-Verantwortliche Angriffe auf die Softwarelieferkette erkennen und abwehren können.

(dmk)