Gerade wurde eine größere Sicherheitslücke im GhostScript-Interpreter entdeckt, für die es bisher keinen Patch gibt. Die Schwachstelle ermöglicht ggf. die Maschine des Opfers zu übernehmen. Hier einige Informationen zum Thema, da GhostScript in einigen Produkten steckt und faktisch auf allen Betriebssystemen verfügbar ist.
Anzeige
Was ist GhostScript?
Der GhostScript-Interpreter wurde ursprünglich von Peter Deutsch (kommerzielle Lizenz bei Artifed Software) entwickelt, steht aber frei für Linux, Unix, VMS, Windows, macOS, Mac OS Classic, MSDOS, OS/2 etc. zur Verfügung. Das Produkt ermöglicht PostScript und PDF-Dateien auf Bildschirmen oder Druckern darzustellen. Daher ist es in vielen PDF-Produkten (faktisch in allen PDF-Druckern und Editoren, aber auch in Gimp & Co.) integriert. Kritisch wird es, wenn Sicherheitslücken auftreten, die durch fremde Dokumente ausgenutzt werden können.
Die Sicherheitslücke in GhostScript
Tavis Ormandy, Sicherheitsforscher beim Google Project Zero, hat eine große Schwachstelle in Ghostscript gefunden und nun Details veröffentlicht. Es gibt bereits einen Thread aus 2016, wo andre Probleme mit der Sandbox beschrieben sind. Jetzt kommen einige weitere Schwachstellen hinzu.
I found a few file disclosure, shell command execution, memory corruption and type confusion bugs. There was also one that was found exploited in the wild. There was also a similar widely exploited issue that could be exploited identically.
Neben einem File Disclosure-Bug können Shell-Kommandos ausgeführt werden und es lassen sich Speicherfehler ausnutzen. Da bereits eine Schwachstelle ausgenutzt wurde und die Informationen in Diskussionsgruppen ausgetauscht wurden, hat sich Ormandy zur Veröffentlichung entschieden.
Um den von Ormandy entdeckten Fehler auszunutzen, muss ein Angreifer eine fehlerhafte PostScript-, PDF-, EPS- oder XPS-Datei an ein Opfer senden. Sobald die Datei im Ghostscript-Interpreter geöffnet wird, lässt sich der in der Datei enthaltene Schadcode auf dem Zielrechner ausführen. Die häufig eingesetzten PDF-Druckertreiber dürften daher unkritisch sein, da man dort nur eigene Dokumente in das PDF-Format überführt.
Anzeige
Problematisch sind aber alle Tools, die PDF-Dokumente öffnen. Denn die Schwachstelle, die noch keine CVE-Kennung erhalten hat, erlaubt es einem Angreifer, Anwendungen und Server zu übernehmen, die verwundbare Versionen von Ghostscript verwenden. Ein Fix liegt scheinbar noch nicht vor – und es dauert, bis die Aktualisierung in die verschiedenen Software-Pakete Eingang gefunden hat. Ein Problem dürfte das auch auf Servern darstellen, wo Nutzer PDF-Dokumente hochladen und konvertieren können.
This is your annual reminder to disable all the ghostscript coders in policy.xml.https://t.co/Xv4GQxmOmN https://t.co/7AohUaaS0C
— Tavis Ormandy (@taviso) 21. August 2018
Ormandy schlägt vor, in [Software/Linux]-Distributionen wie ImageMagick standardmäßig die PS-, EPS-, PDF- und XPS-Codierer in der Datei policy.xml zu deaktivieren. Details sind im Chromium-Blog nachzulesen. Ein paar Informationen finden sich auch bei Bleeping Computer. Ergänzung: Auch heise.de hat einen Beitrag veröffentlicht, der ergänzende Hinweise enthält. Falls jemand Hinweise zum Anpassen der Datei policy.xml für ImageMagick sucht, hier gibt es ein Beispiel.
Anzeige
das dürfte dann auch das sehr beliebte pdf24 betreffen, mal sehen was die dazu sagen.
schade drum, war immer erste wahl für einen schnell angedockten pdf-drucker falls nix anderes verfügbar war.
…dann leider wohl auch "FreePDF" welches ich schon seit ewigkeiten als PDF drucker nutze und wo eben auch Ghostscript benötigt wird…
ich nutze allerdings noch die version 9.16 – aktuell ist wohl die 9.23 von GS
…eine frage noch an Günni:
ist das jetzt für den normalen user zu hause problematisch, wenn man sich ab und zu etwas in PDF umwandeln lässt, oder ist generell das vorhandensein von GS (ist ja installiert) ein risiko/schwachstelle im system?
ich konnte das nicht so richtig rauslesen
thanx before
Steht im Artikel beschrieben. Alle auf deinem Rechner vorhandenen Dateien, die in PDF umgewandelt werden, sind nicht gefährdet. Solange sie zum konvertieren nicht ins Web hoch geladen werden.
Die Gefahr besteht bei den genannten Dateitypen, die aus dem Web zu dir auf den Rechner kommen. Wird solch eine präparierte Datei geöffnet, startet der Angriff.
FreePDF hat aber den Vorteil, das es direkt auf eine separate Installation von Ghostscript aufsetzt. Also wenn es ein Update von Ghostscript gibt und Du dies einspielst, ist der Fehler weg…
Viele andere PDF-Viewer und -Generatoren haben die Geschichte direkt integriert und hier bist Du dann auf den Hersteller der Software angewiesen… das ist das eigentliche Problem.
danke für deinen hinweis!
habe mir gerade von GS die version 9.23 runtergeladen und installiert… (meine version war die 9.16)
So wie ich es bei Golem.de verstanden habe, genügt es, wenn im Dateibrowser der Wahl (z. B. Explorer) die Vorschau gerendert wird.
Danke für den Sicherheitshinweis. Das ist ja wirklich blöd. Auf meinem Rechner gibt es auch Anwendungen, die GhostScript verwenden und nicht so einfach zu umgehen sind. Also vorsichtig sein und hoffen, dass die installierte AV-Lösung – wenn es drauf ankommt – einen Angriff erkennt und verhindert…, wie es so schön heißt: Wer's glaubt, wird selig.
Ormandy spricht immer nur von LINUX. Gibt es irgendwo Infos, ob Windows entsprechend betroffen ist?
Es ist imho egal, ob Linux, macOS oder Windows drauf steht. Die Bibliotheken sind die gleichen.
Am 13.09. ist GhostScript 9.25 erschienen. Das Update ist sicherheitsrelevant, siehe: https://www.ghostscript.com/doc/9.25/News.htm