Hlavní navigace

Vážná zranitelnost v nástroji Ghostscript dovoluje vzdáleně spustit cizí kód

Petr Krčmář

Tavis Ormandy z bezpečnostního projektu Google Project Zero zveřejnil informace o vážné zranitelnosti v Ghostscript, což je nástroj pro vykreslování dokumentů popsaných v jazycích jako PostScript nebo PDF. Ghostscript je nejrozšířenější software své kategorie, který navíc nalezneme v mnoha dalších aplikacích jako ImageMagick, Evince či GIMP.

Zmíněnou chybu je možné zneužít tak, že útočník pošle oběti upravený soubor ve formátu PostScript, PDF, EPS či XPS. Jakmile se obsah dostane k interpretru Ghostscript, kvůli chybě se provede kód ukrytý v dokumentu. Chyba je velmi nebezpečná, protože děravý nástroj je velmi rozšířený a navíc na problém zatím neexistuje záplata.

Není to první chyba, kterou v Ghostscript Tavis Ormandy objevil. V letech 2016 a 2017 objevil podobné chyby, které byly později v praxi zneužívány.

Našli jste v článku chybu?