Navigation und Service

Version 1.0: Kritische Schwachstelle mit Proof-of-Concept Exploit in Ghostscript

Datum 14.07.2023

Am 11. Juli 2023 wurde zu einer kritischen Schwachstelle in der Open-Source PDF Bibliothek Ghostscript ein Proof-of-Concept Exploit veröffentlicht. Die Schwachstelle mit der CVE-Nummer CVE-2023-36664 und einer CVSS-Bewertung von 9.8 ("kritisch") ermöglicht einem entfernten Angreifer die Ausführung von Remote Code. Die Schwachstelle wird durch eine fehlerhafte Berechtigungsvalidierung für Pipe-Geräte (mit dem Präfix "%pipe%" oder dem Pipe-Zeichen "|") verursacht.

Ghostscript, ein Interpreter für die PostScript-Sprache und PDF-Dateien, ist Teil vieler Distributionen als Standardinstallation. Obwohl Ghostscript selten direkt genutzt wird, wird es häufig von anderen Open-Source-Softwarepaketen zur Unterstützung von Druck- oder Konvertierungsvorgängen verwendet.