artis
Kerentanan dalam jurubahasa Ghostscript yang digunakan untuk menguraikan dokumen Adobe Postscript dan PDF dalam talian telah terungkap setelah laporan oleh penyelidik keselamatan Google, Tavis Ormandy, dan pernyataan yang mengganggu oleh Steve Giguere, jurutera EMEA untuk Sinopsis. Oleh kerana jurubahasa bahasa deskriptif halaman Ghostcript adalah sistem yang paling sering digunakan dalam banyak program dan pangkalan data, kerentanan ini mempunyai pelbagai eksploitasi dan kesan jika dimanipulasi.
Menurut pernyataan yang dikeluarkan oleh Giguere, Ghostscript adalah sistem penafsiran yang diguna pakai secara meluas yang digunakan dalam aplikasi tempatan serta pelayan dalam talian dan klien pengurusan data untuk menguraikan format Adobe PostScript dan PDF. Pakej GIMP dan ImageMagick misalnya yang dia catat tidak dapat dipisahkan dengan pembangunan web terutama dalam konteks PDF.
Sekiranya kerentanan yang berkaitan yang ditemukan dengan Ghostscript dieksploitasi, ia akan menyebabkan pelanggaran privasi dan pelanggaran data yang serius di mana penyerang jahat boleh mendapatkan akses ke fail peribadi. Giguere mengatakan bahawa 'Eksploitasi Ghostscript ini adalah contoh premium dari ketergantungan lata pada pakej perisian sumber terbuka, di mana ketergantungan komponen inti mungkin tidak dapat ditingkatkan dengan mudah. Walaupun CVE dikaitkan dengan sesuatu seperti ini, dan pembaikan tersedia, akan ada kelewatan sekunder sementara pakej yang memasukkannya ke dalam perisian mereka sendiri seperti ImageMagick melepaskan versi dengan perbaikan. '
Menurut Giguere, ini menyebabkan kelewatan peringkat kedua kerana pengurangannya bergantung secara langsung kepada pengarang menyelesaikan masalah pada dasarnya sebaik sahaja timbul, pertama, tetapi dengan sendirinya tidak ada gunanya jika komponen yang diselesaikan ini tidak dimuat naik ke pelayan web dan aplikasi yang memanfaatkannya. Masalahnya mesti diselesaikan secara inti dan kemudian dikemas kini di mana ia secara langsung digunakan untuk tujuan pengurangan yang berkesan. Oleh kerana ini adalah proses dua langkah, ia dapat memberikan penyerang jahat setiap saat yang mereka perlukan untuk mengeksploitasi kerentanan jenis ini.
Petua mitigasi yang belum ada dari Giguere adalah: 'Dalam jangka pendek, nasihat untuk mulai mematikan pengekod PS, EPS, PDF dan XPS secara lalai adalah satu-satunya pertahanan - sehingga perbaikan tersedia. Sehingga itu, kunci pintu anda dan mungkin baca salinan kertas! '
