Hlavní navigace

Vážná zranitelnost v nástroji Ghostscript dovoluje vzdáleně spustit cizí kód

23. 8. 2018

Sdílet

Ghostscript

Tavis Ormandy z bezpečnostního projektu Google Project Zero zveřejnil informace o vážné zranitelnosti v Ghostscript, což je nástroj pro vykreslování dokumentů popsaných v jazycích jako PostScript nebo PDF. Ghostscript je nejrozšířenější software své kategorie, který navíc nalezneme v mnoha dalších aplikacích jako ImageMagick, Evince či GIMP.

Zmíněnou chybu je možné zneužít tak, že útočník pošle oběti upravený soubor ve formátu PostScript, PDF, EPS či XPS. Jakmile se obsah dostane k interpretru Ghostscript, kvůli chybě se provede kód ukrytý v dokumentu. Chyba je velmi nebezpečná, protože děravý nástroj je velmi rozšířený a navíc na problém zatím neexistuje záplata.

Není to první chyba, kterou v Ghostscript Tavis Ormandy objevil. V letech 2016 a 2017 objevil podobné chyby, které byly později v praxi zneužívány.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.