Ungepatchte Schwachstelle im GhostScript-Interpreter

Gerade wurde eine größere Sicherheitslücke im GhostScript-Interpreter entdeckt, für die es bisher keinen Patch gibt. Die Schwachstelle ermöglicht ggf. die Maschine des Opfers zu übernehmen. Hier einige Informationen zum Thema, da GhostScript in einigen Produkten steckt und faktisch auf allen Betriebssystemen verfügbar ist.


Anzeige

Was ist GhostScript?

Der GhostScript-Interpreter wurde ursprünglich von Peter Deutsch (kommerzielle Lizenz bei Artifed Software) entwickelt, steht aber frei für Linux, Unix, VMS, Windows, macOS, Mac OS Classic, MSDOS, OS/2 etc. zur Verfügung. Das Produkt ermöglicht PostScript und PDF-Dateien auf Bildschirmen oder Druckern darzustellen. Daher ist es in vielen PDF-Produkten (faktisch in allen PDF-Druckern und Editoren, aber auch in Gimp & Co.) integriert. Kritisch wird es, wenn Sicherheitslücken auftreten, die durch fremde Dokumente ausgenutzt werden können.

Die Sicherheitslücke in GhostScript

Tavis Ormandy, Sicherheitsforscher beim Google Project Zero, hat eine große Schwachstelle in Ghostscript gefunden und nun Details veröffentlicht. Es gibt bereits einen Thread aus 2016, wo andre Probleme mit der Sandbox beschrieben sind. Jetzt kommen einige weitere Schwachstellen hinzu.

I found a few file disclosure, shell command execution, memory corruption and type confusion bugs. There was also one that was found exploited in the wild. There was also a similar widely exploited issue that could be exploited identically.

Neben einem File Disclosure-Bug können Shell-Kommandos ausgeführt werden und es lassen sich Speicherfehler ausnutzen. Da bereits eine Schwachstelle ausgenutzt wurde und die Informationen in Diskussionsgruppen ausgetauscht wurden, hat sich Ormandy zur Veröffentlichung entschieden.

Um den von Ormandy entdeckten Fehler auszunutzen, muss ein Angreifer eine fehlerhafte PostScript-, PDF-, EPS- oder XPS-Datei an ein Opfer senden. Sobald die Datei im Ghostscript-Interpreter geöffnet wird, lässt sich der in der Datei enthaltene Schadcode auf dem Zielrechner ausführen. Die häufig eingesetzten PDF-Druckertreiber dürften daher unkritisch sein, da man dort nur eigene Dokumente in das PDF-Format überführt.

Problematisch sind aber alle Tools, die PDF-Dokumente öffnen. Denn die Schwachstelle, die noch keine CVE-Kennung erhalten hat, erlaubt es einem Angreifer, Anwendungen und Server zu übernehmen, die verwundbare Versionen von Ghostscript verwenden. Ein Fix liegt scheinbar noch nicht vor – und es dauert, bis die Aktualisierung in die verschiedenen Software-Pakete Eingang gefunden hat. Ein Problem dürfte das auch auf Servern darstellen, wo Nutzer PDF-Dokumente hochladen und konvertieren können.

Ormandy schlägt vor, in [Software/Linux]-Distributionen wie ImageMagick standardmäßig die PS-, EPS-, PDF- und XPS-Codierer in der Datei policy.xml zu deaktivieren. Details sind im Chromium-Blog nachzulesen. Ein paar Informationen finden sich auch bei Bleeping Computer. Ergänzung: Auch heise.de hat einen Beitrag veröffentlicht, der ergänzende Hinweise enthält. Falls jemand Hinweise zum Anpassen der Datei policy.xml für ImageMagick sucht, hier gibt es ein Beispiel.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Ungepatchte Schwachstelle im GhostScript-Interpreter

  1. mechaniker sagt:

    das dürfte dann auch das sehr beliebte pdf24 betreffen, mal sehen was die dazu sagen.
    schade drum, war immer erste wahl für einen schnell angedockten pdf-drucker falls nix anderes verfügbar war.

    • chriscrosser sagt:

      …dann leider wohl auch "FreePDF" welches ich schon seit ewigkeiten als PDF drucker nutze und wo eben auch Ghostscript benötigt wird…
      ich nutze allerdings noch die version 9.16 – aktuell ist wohl die 9.23 von GS

      …eine frage noch an Günni:
      ist das jetzt für den normalen user zu hause problematisch, wenn man sich ab und zu etwas in PDF umwandeln lässt, oder ist generell das vorhandensein von GS (ist ja installiert) ein risiko/schwachstelle im system?
      ich konnte das nicht so richtig rauslesen
      thanx before

      • RUTZ-AhA sagt:

        Steht im Artikel beschrieben. Alle auf deinem Rechner vorhandenen Dateien, die in PDF umgewandelt werden, sind nicht gefährdet. Solange sie zum konvertieren nicht ins Web hoch geladen werden.

        Die Gefahr besteht bei den genannten Dateitypen, die aus dem Web zu dir auf den Rechner kommen. Wird solch eine präparierte Datei geöffnet, startet der Angriff.

      • nhauke sagt:

        FreePDF hat aber den Vorteil, das es direkt auf eine separate Installation von Ghostscript aufsetzt. Also wenn es ein Update von Ghostscript gibt und Du dies einspielst, ist der Fehler weg…
        Viele andere PDF-Viewer und -Generatoren haben die Geschichte direkt integriert und hier bist Du dann auf den Hersteller der Software angewiesen… das ist das eigentliche Problem.

      • Martin Feuerstein sagt:

        So wie ich es bei Golem.de verstanden habe, genügt es, wenn im Dateibrowser der Wahl (z. B. Explorer) die Vorschau gerendert wird.

  2. Ralf Lindemann sagt:

    Danke für den Sicherheitshinweis. Das ist ja wirklich blöd. Auf meinem Rechner gibt es auch Anwendungen, die GhostScript verwenden und nicht so einfach zu umgehen sind. Also vorsichtig sein und hoffen, dass die installierte AV-Lösung – wenn es drauf ankommt – einen Angriff erkennt und verhindert…, wie es so schön heißt: Wer's glaubt, wird selig.

  3. crispp sagt:

    Ormandy spricht immer nur von LINUX. Gibt es irgendwo Infos, ob Windows entsprechend betroffen ist?

  4. Ralf Lindemann sagt:

    Am 13.09. ist GhostScript 9.25 erschienen. Das Update ist sicherheitsrelevant, siehe: https://www.ghostscript.com/doc/9.25/News.htm

Schreibe einen Kommentar zu RUTZ-AhA Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.