Alert!

Codeschmuggel-LĂĽcke in Ghostscript betrifft LibreOffice und mehr

Eine Lücke in Ghostscript, die Einschmuggeln von Schadcode erlaubt, betrifft Linux-Systeme und Software wie LibreOffice oder Inkscape – auch unter Windows.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen

(Bild: Shutterstock)

Lesezeit: 2 Min.
Von

Die IT-Forscher von Kroll haben eine SicherheitslĂĽcke in Ghostscript entdeckt, die beim Ă–ffnen von Dokumenten zum Starten von eingeschleusten Schadcode fĂĽhren kann. Sie haben dazu auch einen Demo-Exploit (Proof of Concept, PoC) entwickelt. IT-Verantwortliche sollten bereitstehende Sicherheitsupdates zĂĽgig installieren.

Ghostscript ist eine populäre Software zum Anzeigen und Erzeugen etwa von Postscript- oder PDF-Dateien und insbesondere im Linux-Umfeld bekannt. Etwa das CUPS-Drucksystem setzt bei den Filtern darauf. Aber auch LibreOffice, Inkscape oder Scribus sowie ImageMagick nutzen die Software. Deren Windows-Ports bringen daher oftmals eine Windows-Version von Ghostscript mit.

In ihrer Analyse schreiben die Kroll-Mitarbeiter, dass Ghostscript eine RechteprĂĽfung fĂĽr Pipe-Devices, also solchen, die mittels %pipe% oder besser bekannt mit dem Pipe-Zeichen "|" darauf zugreifen, nicht korrekt vornehme (CVE-2023-36664, CVSS 9.8, Risiko "kritisch"). Der Fehler tritt in Ghostscript vor Version 10.01.2 auf.

Da die Sicherheitslücke durch das Öffnen von präparierten Dokumenten missbraucht werden kann, sollten Empfänger von unverlangt zugesandten Dateien Vorsicht walten lassen. Administratoren und Nutzer sollten Ghostscript aktualisieren. Debian stellt etwa fehlerbereinigte Pakete bereit, andere Distributionen ebenfalls. Kroll empfiehlt Anbietern von Software, die Ghostscript mitbringt, ebenfalls aktualisierte Fassungen herauszugeben. Nutzer solcher Programme wie die vorgenannten ImageMagick, LibreOffice, Inkscape, Scribus und ähnlichen sollten ebenfalls nach Updates der Software Ausschau halten und so schnell wie möglich installieren.

Es handelt sich bei der Lücke um ein weiteres Beispiel für Sicherheitsprobleme in der Softwarelieferkette (Supply-Chain). Ein Artikel der iX erläutert, wie IT-Verantwortliche Angriffe auf die Softwarelieferkette erkennen und abwehren können.

(dmk)