taiteilija
Ghostscript-tulkin haavoittuvuus, jota käytetään Adobe Postscript- ja PDF-asiakirjojen salaamiseen verkossa, on tullut esiin Googlen tietoturvatutkijan Tavis Ormandyn raportin ja EMEA: n Synopsiksen insinöörin Steve Gigueren hankalan lausunnon jälkeen. Koska Ghostcript-sivun kuvaava kielitulkki on yleisimmin käytetty järjestelmä lukuisissa ohjelmissa ja tietokannoissa, tällä haavoittuvuudella on laaja joukko hyväksikäytön ja vaikutuksia, jos sitä manipuloidaan.
Gigueren julkaiseman lausunnon mukaan Ghostscript on vaikuttavan laajasti käytetty tulkkausjärjestelmä, jota käytetään paikallisissa sovelluksissa sekä online-palvelimissa ja tiedonhallintaohjelmissa Adobe PostScript- ja PDF-muotojen salaamiseksi. Esimerkiksi GIMP- ja ImageMagick-paketit ovat olennainen osa web-kehitystä etenkin PDF-tiedostojen yhteydessä.
Jos Ghostscriptillä havaittua haavoittuvuutta hyödynnetään, se saattaa loukata yksityisyyttä ja vakavaa tietorikkomusta, jonka kautta haitalliset hyökkääjät pääsevät käsiksi yksityisiin tiedostoihin. Giguere sanoo sen 'Tämä Ghostscript-hyödyntäminen on ylivoimainen esimerkki avoimen lähdekoodin ohjelmistopaketeista johtuvista riippuvuuksista, joissa ydinkomponentin riippuvuutta ei välttämättä voida helposti päivittää. Vaikka CVE liittyy johonkin tällaiseen ja korjaus on saatavilla, tapahtuu toissijainen viive, kun paketit, jotka sisällyttävät tämän omaan ohjelmistoonsa, kuten ImageMagick, julkaisevat version, jossa on korjaus. '
Gigueren mukaan tämä aiheuttaa toisen tason viiveen, koska sen lieventäminen riippuu suoraan siitä, kirjoittajat ratkaisevat ongelman sen ytimessä heti, kun se ilmenee, mutta ensinnäkin siitä ei ole hyötyä, jos näitä ratkaistuja komponentteja ei ladata web-palvelimille ja niitä käyttävät sovellukset. Kysymykset on ratkaistava ytimessä ja päivitettävä sitten, missä niitä käytetään suoraan tehokkaan lieventämisen vuoksi. Koska tämä on kaksivaiheinen prosessi, se voi tarjota haitallisille hyökkääjille kaiken aikaa, mitä heidän on käytettävä tämän tyyppisen haavoittuvuuden hyödyntämiseen.
Lievennysvinkit ovat vielä Giguere: 'Lyhyellä aikavälillä neuvoja PS-, EPS-, PDF- ja XPS-koodereiden poistamiseksi käytöstä oletuksena on ainoa puolustus - kunnes korjaus on saatavilla. Lukitse siihen asti ovesi ja ehkä lue paperikopioita! '
