umelec
Zraniteľnosť tlmočníka Ghostscript, ktorý sa používa na online dešifrovanie dokumentov Adobe Postscript a PDF, vyšla najavo po správe bezpečnostného výskumníka Google Tavis Ormandy a nepríjemnom vyhlásení Steva Giguere, inžiniera spoločnosti EMno pre Synopsis. Pretože tlmočník deskriptívneho jazyka stránky Ghostcript je najbežnejšie používaným systémom v mnohých programoch a databázach, má táto slabá stránka v prípade manipulácie veľkú škálu zneužitia a dopadu.
Podľa vyhlásenia vydaného spoločnosťou Giguere je Ghostscript pôsobivo široko prijatým tlmočníckym systémom používaným v miestnych aplikáciách, ako aj online serveroch a klientoch pre správu údajov na dešifrovanie formátov Adobe PostScript a PDF. Balíky GIMP a ImageMagick, ktoré napríklad poznamenáva, sú neoddeliteľnou súčasťou vývoja webových aplikácií, najmä v kontexte PDF.
Ak dôjde k zneužitiu súvisiacej zraniteľnosti zistenej v aplikácii Ghostscript, môže to viesť k narušeniu súkromia a vážnemu narušeniu údajov, vďaka ktorému môžu útočníci so zlým úmyslom získať prístup k súkromným súborom. Giguere to hovorí „Toto zneužitie Ghostscript je vynikajúcim príkladom kaskádových závislostí na softvérových balíkoch otvoreného zdroja, kde nemusí byť závislosť základnej súčasti ľahko upgradovaná. Aj keď je CVE spojený s niečím takým a bude k dispozícii oprava, dôjde k sekundárnemu oneskoreniu, zatiaľ čo balíčky, ktoré to začlenia do svojho vlastného softvéru, ako je ImageMagick, vydajú verziu s opravou. “
Podľa Giguereho to spôsobuje oneskorenie druhého stupňa, pretože jeho zmiernenie priamo závisí od toho, ako autori vyriešia problém v jeho jadre hneď, ako sa vyskytne, po prvé, ale samo osebe je nepoužiteľné, ak sa tieto vyriešené komponenty nenahrajú na webové servery. a aplikácie, ktoré ich využívajú. Problémy musia byť vyriešené v jadre a potom aktualizované tam, kde sú priamo použité v záujme efektívneho zmiernenia. Pretože ide o dvojkrokový proces, mohol by útočníkom so zlým úmyslom poskytnúť všetok čas, ktorý potrebujú na zneužitie tohto typu chyby.
Tipy na zmiernenie, ktoré od Giguere ešte budú: „Z krátkodobého hľadiska je odporúčanie začať štandardne deaktivovať kodéry PS, EPS, PDF a XPS jedinou obranou - pokiaľ nebude k dispozícii oprava. Dovtedy zamknite dvere a možno si prečítajte papierové kópie! “
