artista
Ang isang kahinaan sa interpreter ng Ghostscript na ginamit upang maintindihan ang Adobe Adscript at mga dokumentong PDF online ay napakita matapos ang isang ulat ng isang mananaliksik sa seguridad ng Google, na si Tavis Ormandy, at isang nakakaabalang pahayag ni Steve Giguere, isang inhinyero ng EMEA para sa Synopsis. Tulad ng interpreter ng wika ng mapaglarawang wika ng Ghostcript ay ang pinaka-karaniwang ginagamit na system sa maraming mga programa at database, ang kahinaan na ito ay may saklaw na masa ng pagsasamantala at epekto kung manipulahin.
Ayon sa pahayag na inilabas ni Giguere, ang Ghostscript ay isang malawak na malawak na pinagtibay na sistema ng interpretasyon na ginagamit sa mga lokal na aplikasyon pati na rin mga online server at mga kliyente sa pamamahala ng data upang maunawaan ang mga format ng Adobe PostScript at PDF. Ang mga pakete na GIMP at ImageMagick halimbawa ay tala niya ay mahalaga sa pag-unlad ng web lalo na sa konteksto ng PDF.
Kung ang kaugnay na kahinaan na natuklasan sa Ghostscript ay pinagsamantalahan, pinahiram nito ang sarili sa isang paglabag sa privacy at isang seryosong paglabag sa data kung saan maaaring makakuha ng pag-access sa mga pribadong file ang mga nakakahamak na umaatake. Sinasabi iyon ni Giguere 'Ang pagsasamantalang Ghostscript na ito ay isang premium na halimbawa ng cascading dependencies sa bukas na mga pakete ng software ng mapagkukunan, kung saan ang pag-asa ng isang pangunahing sangkap ay maaaring hindi madaling ma-upgrade. Kahit na ang isang CVE ay naiugnay sa isang bagay na tulad nito, at isang pag-aayos na magagamit, magkakaroon ng pangalawang pagkaantala habang ang mga pakete na isinasama ito sa kanilang sariling software tulad ng ImageMagick ay naglalabas ng isang bersyon na may isang pag-aayos. '
Ayon kay Giguere, nagsasanhi ito ng pagkaantala ng pangalawang baitang dahil ang pagpapagaan nito ay nakasalalay nang direkta sa mga may-akda na nalulutas ang isyu sa core nito sa oras na umusbong ito, una, ngunit na sa sarili nitong walang paggamit kung ang mga nalutas na sangkap na ito ay hindi nai-upload sa mga web server at mga application na gumagamit ng mga ito. Ang mga isyu ay dapat na malutas sa pangunahing at pagkatapos ay i-update kung saan direktang ginagamit ang mga ito alang-alang sa mabisang pagpapagaan. Dahil ito ay isang dalawang hakbang na proseso, maaari itong magbigay ng mga nakakahamak na umaatake sa lahat ng oras na kailangan nilang samantalahin ang ganitong uri ng kahinaan.
Ang mga tip sa pagpapagaan ay nakatayo pa rin mula sa Giguere upang: 'Sa maikling panahon, ang payo na simulang huwag paganahin ang mga coder ng PS, EPS, PDF at XPS bilang default ay ang tanging depensa - hanggang sa may magagamit na pag-aayos. Hanggang sa oras na iyon, i-lock ang iyong mga pinto at baka basahin ang mga kopya ng papel! '
