Sicherheitshinweis zu CVE-2023-36664
Diese Meldung wird laufend aktualisiert, sobald neue Informationen aus unseren Analysen hervorgehen. Bitte informieren Sie sich regelmäßig.
Letzte Aktualisierung: 18.07.2023, 18:15 Uhr MEZ
CVE-2023-36664 ist eine kritische Schwachstelle in Ghostscript, die mit 9,8 bewertet wird. Weitere offizielle Informationen dazu finden Sie beispielsweise beim BSI.
Die Schwachstelle ermöglicht einem entfernten Angreifer eine Remote-Code-Ausführung. Die Schwachstelle wird durch eine fehlerhafte Berechtigungsüberprüfung für Pipe-Geräte (mit dem Präfix '%pipe%' oder dem Pipe-Zeichen '|') verursacht.
enaio® (alle unterstützten Versionen: 10.0, 10.10, 11.0)
Ghostscript wird von enaio® documentviewer in allen Versionen zur Konvertierung verwendet. Ghostscript wird bei der Installation aus lizenztechnischen Gründen nicht mit installiert. Wir haben allerdings Installationsdaten zur Verfügung gestellt, zuletzt für die Ghostscript-Version 9.27, die von dieser Schwachstelle betroffen sind.
Aktuell stellen wir Ihnen als Bestandteil der Installationsdaten für enaio® documentviewer das Setup für die Ghostscript-Version 10.01.2, gs10012w64.exe, zur Verfügung.
In dieser Version ist die Schwachstelle behoben. Es wird dringend empfohlen, auf diese oder eine spätere Ghostscript-Version zu aktualisieren.