In Ghostscript wurden von IT-Sicherheitsforscher von Codean Labs fünf Sicherheitslücken entdeckt. Dadurch können Kriminelle beispielsweise die Sandbox umgehen und beliebigen Code ausführen. Ein Proof-of-Concept-Exploit steht für mindestens eine dieser Lücken öffentlich zur Verfügung. Laut eines Berichts wurde die "Codeschmuggel-Lücke" bereits in der Öffentlichkeit angegriffen.

Informationen zu den fünf Sicherheitslücken haben die IT-Sicherheitsforscher in einem Mailinglisten-Post zusammengetragen. Zudem haben sie zu einer Lücke einen ausführlichen Blog-Beitrag erstellt und präsentieren dort ihre detaillierte Analyse. Eine konkrete Risikobewertung haben die Sicherheitsforscher nicht gegeben.

Das Uniprint-Device ist von der gravierendsten Lücke betroffen. Eine Format-String-Schwachstelle findet sich darin. Angreifer erhalten durch das Anlegen eines Seiten-Geräts mit entsprechenden Optionen Kontrolle über den Format-String. Sie erhalten durch das Setzen eines temporären Pfads Zugriff auf die Geräteausgabe und können auf Daten vom Stack zugreifen und so dann auch Schadcode einschleusen und ausführen (CVE-2024-29510).

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE