umetnik
Ranljivost v tolmaču Ghostscript, ki se uporablja za dešifriranje dokumentov Adobe Postscript in PDF v spletu, se je pokazala po poročilu Googlovega raziskovalca varnosti Tavisa Ormandyja in moteči izjavi Steva Giguerea, inženirja EMEA za Synopsis. Ker je opisni jezikovni tolmač na strani Ghostcript najpogosteje uporabljen sistem v številnih programih in bazah podatkov, ima ta ranljivost množičen obseg izkoriščanja in vpliva, če se z njo manipulira.
Glede na izjavo, ki jo je objavil Giguere, je Ghostscript izjemno razširjen sistem tolmačenja, ki se uporablja v lokalnih aplikacijah, pa tudi v spletnih strežnikih in odjemalcih za upravljanje podatkov za dešifriranje formatov Adobe PostScript in PDF. Paketa GIMP in ImageMagick, na primer, ugotavlja, so sestavni del spletnega razvoja, zlasti v kontekstu PDF.
Če izkoriščamo povezano ranljivost, odkrito z Ghostscriptom, se krši zasebnost in resna kršitev podatkov, s katero lahko zlonamerni napadalci dobijo dostop do zasebnih datotek. Giguere to pravi »Ta podvig Ghostscript je odličen primer kaskadnih odvisnosti odprtokodnih programskih paketov, kjer odvisnosti jedrne komponente morda ne bo mogoče enostavno nadgraditi. Tudi če je CVE povezan s čim podobnim in je na voljo popravek, bo prišlo do sekundarne zamude, medtem ko bodo paketi, ki to vključijo v svojo programsko opremo, kot je ImageMagick, izdali različico s popravkom. '
Po Giguereju to povzroča zamudo druge stopnje, saj je ublažitev le-te odvisna neposredno od tega, kako avtorji najprej rešijo težavo v bistvu, takoj ko se pojavi, vendar to samo po sebi ne koristi, če te razrešene komponente niso naložene na spletne strežnike in aplikacije, ki jih uporabljajo. Vprašanja je treba rešiti v jedru in jih nato posodobiti, kjer se neposredno uporabljajo za učinkovito blaženje. Ker gre za dvostopenjski postopek, lahko zlonamernim napadalcem zagotavlja ves čas, ki ga potrebujejo za izkoriščanje te vrste ranljivosti.
Giguerejevi nasveti za ublažitev še vedno veljajo za: »Kratkoročno je edina obramba nasvet, da začnemo privzeto onemogočati kodirnike PS, EPS, PDF in XPS - dokler ni na voljo popravka. Do takrat zaklenite vrata in morda preberite papirnate kopije! «
