首页 > 安全研究 > 安全通报 > 安全通告

Ghostscript任意代码执行漏洞安全通告

发布时间 2019-01-24

漏洞编号和级别

CVE编号：CVE-2019-6116，危险级别：高危， CVSS分值：厂商自评：7.3，官方未评定

影响范围

受影响版本：

Ghostscript 9.26及更早版本都受影响

漏洞概述

Ghostscript是一套建基于Adobe、PostScript及可移植文档格式（PDF）的页面描述语言等而编译成的免费软件。

Google Project Zero 发布 Ghostscript漏洞预警，远端攻击者可利用漏洞在目标系统执行任意代码及绕过安全限制。当伪运算符推送子程序时，ghostscript可能会泄漏操作数堆栈上的敏感运算符。特制的PostScript文件可以使用此缺陷来转义-dSAFER保护，以便例如可以访问文件系统并执行命令。