[English]Kurze Information für Nutzer der Software GhostScript (wird häufig in Software zur Anzeige oder zum Erzeugen von PDF-Dateien verwendet). Die Entwickler haben bereits am 13. September 2018 ein Sicherheitsupdate auf GhostScript 9.25 veröffentlicht, welches Schwachstellen schließt. Ein Update wird dringend empfohlen.
Anzeige
Was ist GhostScript?
Der GhostScript-Interpreter wurde ursprünglich von Peter Deutsch (kommerzielle Lizenz bei Artifed Software) entwickelt, steht aber frei für Linux, Unix, VMS, Windows, macOS, Mac OS Classic, MSDOS, OS/2 etc. zur Verfügung. Das Produkt ermöglicht PostScript und PDF-Dateien auf Bildschirmen oder Druckern darzustellen. Daher ist es in vielen PDF-Produkten (faktisch in allen PDF-Druckern und Editoren, aber auch in Gimp & Co.) integriert. Kritisch wird es, wenn Sicherheitslücken auftreten, die durch fremde Dokumente ausgenutzt werden können. GhostScript steckt in vielen Softwarepaketen, die PDF-Ausgaben erzeugen, drin.
Sicherheitsupdate GhostScript 9.25
Blog-Leser Ralf Lindemann weist in diesem Kommentar darauf hin, dass GhostScript 9.25 zum 13. September 2018 erschienen sei (danke dafür). Die Entwickler schreiben hier, dass diese Version Probleme mit der Argumentbehandlung, einige unbeabsichtigte Ergebnisse der Sicherheitskorrekturen bei den SAFER-Dateizugriffsbeschränkungen (insbesondere beim Zugriff auf ICC-Profildateien) und einige zusätzliche Sicherheitsprobleme der letzten Version 9.24, behebt.
Update dringen empfohlen
Laut dem verlinkten Beitrag standen die Behebung diverser Sicherheitsprobleme im Mittelpunkt dieser Version. Dazu gehören auch Fixes für mehrere (gut bekannte) reale und potenzielle Angriffsszenarien. Die Entwickler empfehlen den Benutzern dringend, auf diese neueste Version zu aktualisieren, um diese Probleme zu vermeiden.
Die Entwickler geben zudem den Hinweis: Das Dienstprogramm ps2epsi (erzeugt EPSi-Dateien) kann und wird Ghostscript nicht mit der Befehlszeilenoption -dSAFER aufrufen. Es sollte niemals mit Eingaben von nicht vertrauenswürdigen Quellen aufgerufen werden. Der Download der Software ist auf dieser Seite möglich.
Anzeige
Anmerkung: Oft ist GhostScript Bestandteil anderer Software. Ich verwende beispielsweise den BullZip PDF Printer, der auf GhostScript angewiesen ist. Daher habe ich GhostScript als 32-Bit-Version heruntergeladen, den alten Ordner gs im Programmordner umbenannt und die neue Version des GhostScript 9.25 in den Unterordner gs installieren lassen. Hat einwandfrei funktioniert – nun arbeitet Bullzip mit der neuen GS-Version.
Ähnliche Artikel:
Ungepatchte Schwachstelle im GhostScript-Interpreter
Anzeige
Die Methode, den "gs"-Ordner händisch zu tauschen funktioniert auch bei PDF24. Wobei ich das noch radikaler durch Kopieren gemacht habe, man braucht nur "bin", "doc" und "lib" in diesem Falle.
Die Installations-EXE von Ghostscript lässt sich mit jedem guten Entpacker auseinandernehmen (hier: 7Zip)
(hmmm … das könnte einen glatt auf die Idee bringen, das in der Domäne durch ein Login-Script erledigen zu lassen … mal sehen wann mich der Hafer sticht …)
Danke für den wertvollen Hinweis.
Gruss
der mechaniker
Eine Verständnisfrage zu „faktisch in allen PDF-Druckern und Editoren, aber auch in Gimp & Co.": Muss man davon ausgehen, dass jedes Programm außerhalb von Adobe, das pdf-Dateien liefert, irgendwo ein Ghostscript mitgebracht hat?
Bei CorelDraw ist das offenbar der Fall. (Dort beginnt der Ordnername mit gs, gefolgt von einer Versionsnummer. Ich habe bei mir in den Ordner gs8.64 die Dateien der Version 9.25 gepatcht und es funktioniert.)
Aber wie ist das bei LibreOffice? Wie bei verschiedenen PDF-Lesern, die es erlauben, Anmerkungen in die Dokumente einzusetzen und abzuspeichern?
Dort konnte ich nirgends eine gsdll32.dll oder ähnliches finden.
Am 20.11.2018 ist Ghostscript 9.26 erschienen. Es handelt sich um ein Sicherheitsupdate. Der Hersteller empfiehlt, das Upgrade zeitnah auszuführen. Siehe: https://www.ghostscript.com/doc/9.26/News.htm