Am 12. März 2025 hat Artifex Software die neue Version Ghostscript 10.05.0 veröffentlicht. Neben funktionalen Verbesserungen behebt das Update gleich acht schwerwiegende Sicherheitslücken (CVE-2025-27830 bis CVE-2025-27837), von denen mehrere als kritisch eingestuft werden. Nutzer*innen von Ghostscript werden dringend aufgefordert, zeitnah auf die neueste Version zu aktualisieren. Alle Schwachstellen basieren auf klassischen Pufferüberläufen (CWE-120), mit Ausnahme von CVE-2025-27837, der ein Path Traversal-Problem (CWE-22) darstellt. Angreifer könnten mit präparierten Eingaben Code ausführen oder auf unautorisierte Dateien zugreifen.
Die behobenen Sicherheitslücken im Überblick:
🔴 CVE-2025-27832
Schweregrad: 9.8 (CRITICAL)
Beschreibung: Ein Buffer Overflow in der NPDL-Komponente (gdevnpdl.c) konnte durch speziell präparierte Daten ausgelöst werden.
➡️ Bug-ID 708133
🔴 CVE-2025-27831
Schweregrad: 9.8 (CRITICAL)
Beschreibung: Ein Textpufferüberlauf im DOCXWRITE/TXTWRITE-Device durch lange Zeichenfolgen (doc_common.c).
➡️ Bug-ID 708132
🔴 CVE-2025-27836
Schweregrad: 9.8 (CRITICAL)
Beschreibung: Ein Druckpufferüberlauf im BJ10V-Druckgerät (gdev10v.c).
➡️ Bug-ID 708192
🔴 CVE-2025-27837
Schweregrad: 9.8 (CRITICAL)
Beschreibung: Path Traversal durch ungültige UTF-8-Zeichen in Dateipfaden. Ermöglicht potenziellen Zugriff auf beliebige Dateien (gp_mswin.c, winrtsup.cpp).
➡️ Bug-ID 708238
🟠 CVE-2025-27830
Schweregrad: 7.8 (HIGH)
Beschreibung: Pufferüberlauf bei der Serialisierung von DollarBlend in Schriftarten (write_t1.c, zfapi.c).
➡️ Bug-ID 708241
🟠 CVE-2025-27833
Schweregrad: 7.8 (HIGH)
Beschreibung: Pufferüberlauf bei langen TTF-Schriftnamen (pdf_fmap.c).
➡️ Bug-ID 708259
🟠 CVE-2025-27834
Schweregrad: 7.8 (HIGH)
Beschreibung: Ein übergroßer Type-4-Funktionsblock in einer PDF-Datei kann einen Buffer Overflow auslösen (pdf_func.c).
➡️ Bug-ID 708253
🟠 CVE-2025-27835
Schweregrad: 7.8 (HIGH)
Beschreibung: Buffer Overflow bei der Umwandlung von Glyphen in Unicode (zbfont.c).
➡️ Bug-ID 708131
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: