Ghostscript: Zero-Day-Exploit soll Entwickler zur Reaktion zwingen
GitHub zur Verfügung und seine Wirksamkeit wurde bereits von mehreren anderen Sicherheitsexperten bestätigt. Insofern dürfte es wichtig sein, dass Nutzer von Ghostscript oder Produkten, die auf diese Software setzen, besondere Maßnahmen ergreifen, um sich vor Angriffen zu schützen.
Ghostscript ist eine relativ kleine Bibliothek, die bereits seit Ende der 1980er Jahre existiert und Anwendungen befähigt, PostScript-basierte Dateien und PDF-Dokumente zu verarbeiten. Meist wird Ghostscript daher in Desktop-Anwendungen eingebunden, aber auch in verschiedenen Servern kommt der Code zur Anwendung - und in letzterem Fall ist die jetzt offengelegte Schwachstelle von Belang.
Allerdings gab es bis heute keine Korrektur durch Artifex, der Firma, die hinter dem Ghostscript-Projekt steht. Und dies ist nicht das erste Mal so. Bereits 2018 hatte ein Sicherheitsforscher Googles mehrere Schwachstellen gemeldet - einen Patch gab es dann erst, als das Thema breit in der Öffentlichkeit gestreut wurde. Offenbar hofft nun auch Nguyen, dass seine Exploit-Veröffentlichung das Unternehmen endlich zu einer Reaktion zwingt.
Siehe auch:
Der vietnamesische Sicherheitsforscher Nguyen The Duc hat jetzt den Proof-of-Concept-Code eines Exploits veröffentlicht, mit dem die Schwachstelle angegriffen werden kann. Dieser steht auf Ghostscript ist eine relativ kleine Bibliothek, die bereits seit Ende der 1980er Jahre existiert und Anwendungen befähigt, PostScript-basierte Dateien und PDF-Dokumente zu verarbeiten. Meist wird Ghostscript daher in Desktop-Anwendungen eingebunden, aber auch in verschiedenen Servern kommt der Code zur Anwendung - und in letzterem Fall ist die jetzt offengelegte Schwachstelle von Belang.
Maintainer reagiert nicht
Der von Nguyen bereitgestellte Exploit setzt auf eine manipulierte SVG-Datei, die über die Bildverarbeitung in Ghostscript fremdem Code auf ein System schleust und zur Ausführung bringt. Ursprünglich wurde die zugrundeliegende Schwachstelle von Emil Lerner, dem Technikchef Wunderfunds, entdeckt. Aufgrund dessen Meldungen haben verschiedene Unternehmen wie AirBNB, Dropbox und Yandex bereits Patches in ihre Software, die mit Ghostscript arbeitet, eingebracht.Allerdings gab es bis heute keine Korrektur durch Artifex, der Firma, die hinter dem Ghostscript-Projekt steht. Und dies ist nicht das erste Mal so. Bereits 2018 hatte ein Sicherheitsforscher Googles mehrere Schwachstellen gemeldet - einen Patch gab es dann erst, als das Thema breit in der Öffentlichkeit gestreut wurde. Offenbar hofft nun auch Nguyen, dass seine Exploit-Veröffentlichung das Unternehmen endlich zu einer Reaktion zwingt.
Siehe auch:
Thema:
Beliebte PDF-Downloads
Neue Bilder zum Thema PDF
Videos zum Thema PDF
Acrobat Pro 2020 im Preisvergleich
Beiträge aus dem Forum
-
Im UZ-Sinn gedrehte PDF-Dokumente speichern
synthhier -
PDF / HTML teilweise ausdrucken
joe13 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
PDF-X-Change-Editor
Stef4n -
Kontextmenu bearbeiten
Brutschi -
Suche Programm, das mehrere PDFs nicht nur in Tabs anzeigt sondern auc
Liftboy -
PDF lässt sich nicht in Text umwandeln
landbastler -
Office 2019 MAC Problem
MiyaGi -
PDF im Chrome. Immer download nicht gewünscht
Doodle
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99 €
Im Preisvergleich ab
43,99 €
Blitzangebot-Preis
34,99 €
Ersparnis zu Amazon 10% oder 4 €
Neue Nachrichten
- Streamer Ninja hat Krebs: "Lasst euch regelmäßig vom Arzt checken!"
- Sony WH-ULT900N: Neue Kopfhörer mit ANC & Ultra Power Sound
- Erde dreht sich immer schneller: Negative Schaltsekunde wird bald nötig
- Elon Musk zum Billig-Tesla: Mitarbeiter werden "am Fließband schlafen"
- Entgegen dem Trend: Hyundai will massiv in Elektroautos investieren
- Tesla will allen Autokäufern eine Full-Self-Driving-Demo aufzwingen
- Circle to Search: Einkreis-Suche auf vielen neuen Geräte, neue Features
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!