Ghostscript 修补多个漏洞，可能造成任意代码执行

Ghostscript 是一款广泛使用的开源软件，用于渲染和转换 PostScript 和 PDF 文件，现已发布关键安全更新版本 10.03.1。此更新解决了五个漏洞，其中几个漏洞可能导致任意代码执行，从而可能使攻击者完全控制受影响的系统。

Ghostscript 是许多打印和文档工作流程中的基本工具，它存在于众多应用程序中，这使得这些漏洞特别令人担忧。利用这些漏洞，攻击者可以：

• 绕过安全限制：CVE-2023-52722 和 CVE-2024-33869 等漏洞允许恶意行为者绕过 SAFER 模式，这是一项旨在限制 Ghostscript 文件访问功能的安全功能。

• 执行任意代码：类似 CVE-2024-33871 的缺陷（CVSS 评分高达8.8) 可能使攻击者能够在目标系统上执行恶意代码，从而可能导致数据盗窃、系统入侵或安装进一步的恶意软件。

访问未经授权的文件：CVE-2024-33869 和 CVE-2024-33870 等问题可能允许攻击者访问指定安全区域之外的文件，从而可能暴露敏感数据或破坏系统操作。

使用Ghostscript 10.03.1 之前的版本的任何人都面临风险。这包括使用包含 Ghostscript 的各种软件包的用户，例如图像编辑器、文档查看器和打印系统。

鉴于这些漏洞的严重性，所有 Ghostscript 用户必须更新至10.03.1版本立即。如果不应用此更新，系统将容易受到潜在攻击，从而可能造成灾难性后果。

https://securityonline.info/ghostscript-patches-multiple-vulnerabilities-potential-for-arbitrary-code-execution/