mākslinieks
Pēc Google drošības pētnieka Tavisa Ormandija ziņojuma un EMEA inženiera konspekta Steve Giguere satraucošā paziņojuma ir atklājusies Ghostscript tulka ievainojamība, ko izmanto, lai tiešsaistē atšifrētu Adobe Postscript un PDF dokumentus. Tā kā Ghostcript lapas aprakstošās valodas tulks ir visbiežāk izmantotā sistēma daudzās programmās un datu bāzēs, šai ievainojamībai ir plašs izmantošanas un ietekmes diapazons, ja ar to manipulē.
Saskaņā ar Giguere izplatīto paziņojumu Ghostscript ir iespaidīgi plaši izplatīta interpretācijas sistēma, ko vietējās lietojumprogrammās, kā arī tiešsaistes serveros un datu pārvaldības klientos izmanto Adobe PostScript un PDF formātu atšifrēšanai. Piemēram, paketes GIMP un ImageMagick, kuras viņš atzīmē, ir neatņemama tīmekļa izstrādes sastāvdaļa, jo īpaši saistībā ar PDF.
Ja tiek izmantota saistītā ar Ghostscript atklātā ievainojamība, tā tiek pakļauta privātuma pārkāpumam un nopietnam datu pārkāpumam, ar kura starpniecību ļaunprātīgi uzbrucēji var piekļūt privātiem failiem. Gigjē to saka “Šis Ghostscript izmantojums ir izcils piemērs pakāpeniskām atkarībām no atvērtā pirmkoda programmatūras pakotnēm, kur pamata komponenta atkarību var nebūt viegli atjaunināt. Pat ja CVE ir saistīts ar kaut ko līdzīgu un pieejams labojums, būs sekundāra aizkave, kamēr paketes, kas to iekļauj savā programmatūrā, piemēram, ImageMagick, izlaiž versiju ar labojumu. '
Pēc Gigjē domām, tas izraisa otrā līmeņa aizkavēšanos, jo tā mazināšana ir tieši atkarīga no tā, vai autori atrisina šo jautājumu, tiklīdz tas rodas, pirmkārt, bet tas pats par sevi nav lietderīgs, ja šie atrisinātie komponenti netiek augšupielādēti tīmekļa serveros un lietojumprogrammas, kas tos izmanto. Jautājumi ir jāatrisina būtībā un pēc tam jāatjaunina, kur tos tieši izmanto efektīvas seku mazināšanas nolūkā. Tā kā tas ir divpakāpju process, tas ļaunprātīgiem uzbrucējiem var nodrošināt visu laiku, kas nepieciešams šāda veida ievainojamības izmantošanai.
Padomi par seku mazināšanu Giguere vēl ir: Īstermiņā ieteikums sākt atspējot PS, EPS, PDF un XPS kodētājus pēc noklusējuma ir vienīgā aizsardzība - līdz brīdim, kad būs pieejams labojums. Līdz tam aizslēdziet savas durvis un varbūt lasiet papīra kopijas! ”
