Ghostscript 更新修补了六个严重漏洞: 代码执行、缓冲区溢出和路径遍历风险

阅读量22511

发布时间 : 2024-11-12 14:12:22

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/ghostscript-update-patches-six-critical-vulnerabilities-code-execution-buffer-overflow-and-path-traversal-risks/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-46951- Ghostscript vulnerability

流行的文档渲染引擎 Ghostscript 发布了一个重要的安全更新,解决了多个漏洞,其中一些漏洞可能导致远程代码执行。

Ghostscript 是一种广泛使用的 PostScript 和 PDF 文件解释器,它在最新发布的 10.04.0 版本中修补了一系列安全漏洞。这些漏洞源于 Ghostscript 在处理不同文件格式和数据结构时出现的各种编码错误。恶意行为者可以利用这些错误制作专门设计的 PostScript 或 PDF 文件,当这些文件被有漏洞的 Ghostscript 版本处理时,就会触发这些漏洞,导致代码执行或信息泄露。

最严重的漏洞包括

  • CVE-2024-46951、CVE-2024-46952、CVE-2024-46953 和 CVE-2024-46956: 这些漏洞可让攻击者利用与未检查指针、缓冲区溢出和越界数据访问相关的问题执行任意代码。这些漏洞存在于 Ghostscript 的多个组件中,包括 PostScript 解释器和 PDF 处理模块。
  • CVE-2024-46954: 此漏洞涉及超长UTF-8编码,可被利用来实现目录遍历,潜在允许攻击者访问敏感文件。
  • CVE-2024-46955: 该漏洞虽然不太严重,但可能导致越界读取,从而泄露敏感信息。

鉴于 Ghostscript 在各种应用程序中处理 PDF 和 PostScript 文件的作用,这些漏洞凸显了安全文档处理的关键需求,特别是在处理外部或用户提交文件的环境中。与任意代码执行、路径遍历和缓冲区溢出漏洞相关的风险使 Ghostscript 成为恶意行为者利用文档处理漏洞入侵系统的目标。

强烈建议 Ghostscript 用户更新到 10.04.0 或更高版本,以降低被利用的风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66