umjetnik
Ranjivost u interpretatoru Ghostscript koji se koristi za dešifriranje Adobe Postscript i PDF dokumenata na mreži izbila je na vidjelo nakon izvještaja Googleova istraživača sigurnosti Tavisa Ormandyja i dosadne izjave Stevea Giguerea, inženjera EMEA-e za Synopsis. Kako je tumač opisnog jezika Ghostcript stranice najčešće korišteni sustav u brojnim programima i bazama podataka, ova ranjivost ima mnoštvo iskorištavanja i utjecaja ako se njome manipulira.
Prema izjavi koju je objavio Giguere, Ghostscript je impresivno široko prihvaćen sustav tumačenja koji se koristi u lokalnim aplikacijama, kao i internetskim poslužiteljima i klijentima za upravljanje podacima za dešifriranje formata Adobe PostScript i PDF. Paketi GIMP i ImageMagick, na primjer, primjećuje, sastavni su dio web razvoja, posebno u kontekstu PDF-a.
Ako se pridružena ranjivost otkrivena pomoću Ghostscripta iskoristi, ona se podvrgava kršenju privatnosti i ozbiljnom kršenju podataka putem kojeg zlonamjerni napadači mogu dobiti pristup privatnim datotekama. Giguere to kaže „Ovaj Ghostscript exploit vrhunski je primjer kaskadnih ovisnosti softverskih paketa otvorenog koda, gdje ovisnost jezgrene komponente možda neće biti lako nadograđena. Čak i kad je CVE povezan s nečim sličnim i ako je dostupan popravak, doći će do sekundarnog kašnjenja dok paketi koji to uključuju u svoj vlastiti softver poput ImageMagick izdaju verziju s ispravkom. '
Prema Giguereu, ovo uzrokuje kašnjenje druge razine, jer njegovo ublažavanje izravno ovisi o tome da autori u osnovi rješavaju problem čim se pojavi, prvo, ali to samo po sebi nema koristi ako se ove riješene komponente ne prenesu na web poslužitelje i aplikacije koje ih koriste. Problemi se moraju riješiti u srži, a zatim ih ažurirati tamo gdje se izravno koriste radi učinkovitog ublažavanja. Budući da je ovo postupak u dva koraka, zlonamjernim napadačima mogao bi pružiti svo vrijeme potrebno za iskorištavanje ove vrste ranjivosti.
Još uvijek savjeti za ublažavanje posljedica Giguerea jesu: „Kratkoročno, jedina obrana je savjet za započinjanje onemogućavanja PS, EPS, PDF i XPS kodera - sve dok ne bude dostupan popravak. Do tada zaključajte vrata i možda čitajte papirnate primjerke! '
