Критическая уязвимость в Ghostscript ставит множество систем под угрозу взлома
Исследователь безопасности из Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил критическую уязвимость в Ghostscript - интерпретаторе с открытым исходным кодом для языков PostScript и PDF.
Ghostscript представляет собой написанный на языке C пакет программного обеспечения, который работает на разных платформах, включая Windows, macOS и широкий спектр Unix-систем. Данный пакет используется для преобразования файлов языка PostScript (или EPS) во многие растровые форматы, такие как PDF, XPS, PCL или PXL.
Многие популярные программы для редактирования PDF и изображений, включая ImageMagick и GIMP, используют библиотеку Ghostscript для анализа содержимого и преобразования форматов файлов.
В комплект Ghostscript входит встроенная опция защиты песочницы -dSAFER, которая обрабатывает ненадежные документы, предотвращая выполнение небезопасных или вредоносных операций в PostScript.
Однако, как выяснил специалист, Ghostscript содержит несколько проблем, совместная эксплуатация которых позволяет удаленному, неавторизованному злоумышленнику выполнить произвольный код в уязвимой системе.
Для того чтобы проэксплуатировать данную уязвимость, злоумышленникам необходимо отправить специально сформированный вредоносный файл (который может быть в формате PDF, PS, EPS или XPS) жертве. При открытии данного файла приложением, использующим уязвимый Ghostscript, атакующий может получить полный контроль над целевой системой.
В настоящее время компания Artifex Software, занимающаяся поддержкой Ghostscript, еще не выпустила исправления для данной проблемы. Пользователям рекомендуется отключить обработку PS, EPS, PDF и XPS файлов до выхода патча.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш