Se ha anunciado una vulnerabilidad de desbordamiento de búfer en Ghostscript que podría ser empleada para ejecutar código arbitrario en los sistemas afectados.
Ghostscript es conocido (y extendido) programa para intérpretar documentos en formato Postscrip (PS) y PDF.
Se han encontrado múltiples fallos de desbordamiento de enteros que podrían causar desbordamientos de búfer basados en heap, junto con múltiples errores de validación de entrada en la librería icclib de Ghostscript. Esto podría ser aprovechado por un atacante, por medio de perfiles ICC especialmente manipulados, para crear archivos PostScript o PDF maliciosos que contengan imágenes y que podrían ser utilizados para hacer que Ghostscript deje de responder o ejecutar código arbitrario.
Diversas distribuciones Linux como Red Hat o Debian ha publicado paquetes actualizados para corregir el problema.
Opina sobre esta noticia:
Comentario para una-al-dia 22/03/2009. Desbordamiento de búfer en Ghostscript
Más Información:
Moderate: ghostscript security update
https://rhn.redhat.com/errata/RHSA-2009-0345.html
[SECURITY] [DSA 1746-1] New ghostscript packages fix arbitrary code execution
[SECURITY] [DSA 1746-1] New ghostscript packages fix arbitrary code execution
(CVE-2009-0583) CVE-2009-0583 ghostscript: Multiple integer overflows in the International Color Consortium Format Library
https://bugzilla.redhat.com/show_bug.cgi?id=487742
Ghostscript es conocido (y extendido) programa para intérpretar documentos en formato Postscrip (PS) y PDF.
Se han encontrado múltiples fallos de desbordamiento de enteros que podrían causar desbordamientos de búfer basados en heap, junto con múltiples errores de validación de entrada en la librería icclib de Ghostscript. Esto podría ser aprovechado por un atacante, por medio de perfiles ICC especialmente manipulados, para crear archivos PostScript o PDF maliciosos que contengan imágenes y que podrían ser utilizados para hacer que Ghostscript deje de responder o ejecutar código arbitrario.
Diversas distribuciones Linux como Red Hat o Debian ha publicado paquetes actualizados para corregir el problema.
Opina sobre esta noticia:
Comentario para una-al-dia 22/03/2009. Desbordamiento de búfer en Ghostscript
Más Información:
Moderate: ghostscript security update
https://rhn.redhat.com/errata/RHSA-2009-0345.html
[SECURITY] [DSA 1746-1] New ghostscript packages fix arbitrary code execution
[SECURITY] [DSA 1746-1] New ghostscript packages fix arbitrary code execution
(CVE-2009-0583) CVE-2009-0583 ghostscript: Multiple integer overflows in the International Color Consortium Format Library
https://bugzilla.redhat.com/show_bug.cgi?id=487742