umělec
Zranitelnost tlumočníka Ghostscript používaného k online dešifrování dokumentů Adobe Postscript a PDF vyšla najevo po zprávě bezpečnostního výzkumníka Google Tavise Ormandyho a obtěžujícím prohlášení Steva Giguere, inženýra společnosti Synopsis pro oblast EMEA. Vzhledem k tomu, že překladač popisných jazyků stránky Ghostcript je nejčastěji používaným systémem v mnoha programech a databázích, má tato chyba zabezpečení při manipulaci velkou škálu zneužití a dopadu.
Podle prohlášení zveřejněného společností Giguere je Ghostscript působivě široce přijímaným interpretačním systémem používaným v místních aplikacích i online serverech a klientech pro správu dat k dešifrování formátů Adobe PostScript a PDF. Balíčky GIMP a ImageMagick, které například poznamenává, jsou nedílnou součástí vývoje webových aplikací, zejména v kontextu PDF.
Pokud dojde k zneužití související chyby zabezpečení zjištěné ve službě Ghostscript, může dojít k narušení soukromí a vážnému narušení dat, díky kterému mohou útočníci se zlými úmysly získat přístup k soukromým souborům. Giguere to říká 'Toto zneužití Ghostscript je vynikajícím příkladem kaskádových závislostí na softwarových balíčcích s otevřeným zdrojovým kódem, kde závislost základní součásti nemusí být snadno upgradována.' I když je CVE spojen s něčím podobným a bude k dispozici oprava, dojde k sekundárnímu zpoždění, zatímco balíčky, které to začlení do svého vlastního softwaru, jako je ImageMagick, vydají verzi s opravou. “
Podle Giguere to způsobí zpoždění druhého stupně, protože jeho zmírnění závisí přímo na autorech, kteří vyřeší problém v jeho jádru, jakmile se objeví, zaprvé, ale samo o sobě nemá smysl, pokud tyto vyřešené komponenty nejsou nahrány na webové servery a aplikace, které je využívají. Problémy je nutné vyřešit v jádru a poté aktualizovat tam, kde se přímo používají v zájmu účinného zmírnění. Jelikož se jedná o dvoustupňový proces, mohl by útočníkům se zlými úmysly poskytnout veškerý čas, který potřebují k zneužití tohoto typu chyby zabezpečení.
Tipy na zmírnění, které od Giguere dosud stojí: 'V krátkodobém horizontu je doporučení zahájit ve výchozím nastavení deaktivaci kodérů PS, EPS, PDF a XPS jedinou obranou - dokud nebude k dispozici oprava.' Do té doby zamkněte dveře a možná si přečtěte papírové kopie! “
![[Oprava] Deceit se nepodařilo načíst profil](https://jf-balio.pt/img/how-tos/94/deceit-failed-load-profile.png)
