Ghostscript patzt ebenfalls bei PDFs
Der Sicherheitsdienstleister Secunia warnt vor einer kritischen Lücke in Ghostscript, die sich durch speziell präparierte PDF-Dateien ausnutzen lasse.
Der Sicherheitsdienstleister Secunia warnt vor einer kritischen Lücke in Ghostscript, die sich durch speziell präparierte PDF-Dateien ausnutzen lasse. Ghostscript war ursprünglich ein quelloffener Postscript-Interpreter, lernte später jedoch auch den Umgang mit PDF-Dateien.
Beim Dekodieren von JBIG2-Streams in PDF-Dateien kann es zu einem Pufferüberlauf auf dem Heap kommen. Einen ähnlichen Fehler musste erst kürzlich Adobe im Adobe Reader beseitigen. Laut Secunia ist die aktuelle Ghostscript-Version 8.64 betroffen, eine fehlerbereinigte Version gibt es offenbar noch nicht. In der Fehlerdatenbank des Linux-Distributors Redhat gibt es allerdings bereits einen Patch, der hoffentlich bald in eine neue Version einfließen wird.
Siehe dazu auch:
- Ghostscript jbig2dec JBIG2 Processing Buffer Overflow, Sicherheitsnotiz von Secunia
(ju)