Κυκλοφορεί PoC για exploit που επηρεάζει servers

Το Proof-of-concept (PoC) ενός δημοσιεύτηκε στο διαδίκτυο το Σαββατοκύριακο για μια ευπάθεια του Ghostscript που θέτει σε κίνδυνο όλους τους διακομιστές που βασίζονται στο στοιχείο.

Το PoC δημοσιεύτηκε από τον Βιετναμέζο ερευνητή Nguyen The Duc στο GitHub και έχει επιβεβαιωθεί ότι λειτουργεί από αρκετούς κορυφαίους ερευνητές ασφάλειας.code php html

Το Ghostscript κυκλοφόρησε το 1988 και είναι μια μικρή βιβλιοθήκη που επιτρέπει στις να επεξεργάζονται έγγραφα PDF και αρχεία που βασίζονται στο PostScript.

Το Ghostscript ται και από την πλευρά του διακομιστή, και συνήθως συμπεριλαμβάνεται σε εργαλεία μετατροπής εικόνας και επεξεργασίας αρχείων, όπως το δημοφιλές ImageMagick.

Το PoC που κυκλοφόρησε από τον Nguyen επιτρέπει σε έναν εισβολέα να ανεβάσει ένα κακόβουλο αρχείο SVG που υποτίθεται ότι πάει για επεξεργασίας εικόνας, αλλά τρέχει κακόβουλο στο υποκείμενο λειτουργικό σύστημα.

Ο Nguyen μπορεί να είναι αυτός που κυκλοφόρησε δημόσια το PoC, αλλά δεν ανακάλυψε αυτός την ευπάθεια.

Την ανακάλυψε ο Emil Lerner CTO και ιδρυτής της Wunderfund, ο οποίος χρησιμοποίησε το σφάλμα πέρυσι για να κερδίσει bug bounties από εταιρείες όπως τις Airbnb, Dropbox και Yandex.

Αυτή είναι η δεύτερη φορά που το project Ghostscript βρίσκεται στην επικαιρότητα λόγω κενών ασφαλείας. Τον Αύγουστο του 2018, ένας ερευνητής ασφάλειας της Google ανακάλυψε πολλά κρίσιμα τρωτά σημεία στη βιβλιοθήκη Ghostscript τα οποία η Artifex (εταιρεία που το αναπτύσσει) δεν κατάφερε να επιδιορθώσει εγκαίρως. Ωστόσο, η εταιρεία κυκλοφόρησε διορθώσεις δύο ημέρες μετά την δημοσιοποίηση των κενών ασφαλείας.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).