Vulnérabilités dans GhostScript
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans GhostScript, une suite logicielle permettant le traitement de fichiers PostScript et PDF. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges.
CVE-2020-16302 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “débordement de tampon” a été découverte dans la fonction jetp3852_print_page() de GhostScript. Un attaquant peut exploiter cette vulnérabilité afin d’élever ses privilèges via un fichier PDF spécialement conçu.
CVE-2020-16303 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans la fonction xps_finish_image_path() de GhostScript. Un attaquant peut exploiter cette vulnérabilité afin d’élever ses privilèges via un fichier PDF spécialement conçu.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
Criticité
- Score CVSS v3 : 7.8
Existence d’un code d’exploitation
- Une preuve de concept est disponible publiquement
Composants vulnérables
- GhostScript version 9.50
CVE
- CVE-2020-16302
- CVE-2020-16303
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour GhostScript vers la version 9.51
Solution de contournement
Aucune solution de contournement