Ghostscript Patches Multiple Vulnerabilities, Potential for Arbitrary Code Execution
2024/06/20 SecurityOnline — Ghostscript がリリースしたのは、深刻な脆弱性を修正するバージョン 10.03.1 である。この OSS プロエジェクトのアップデートは、5つの脆弱性に対処しているが、そのうちのいくつかは、任意のコード実行へとつながり、攻撃者にシステムの完全な制御を許す可能性があるものだ。PostScript/PDF ファイルの作成/変換で、広範に使用されている Ghostscript だけに、その影響が懸念される。
Ghostscript は、印刷/文書のワークフローにおける基本的なツールであり、多数のアプリケーションに存在することから、これらの脆弱性は深刻な問題となる。これらの脆弱性の悪用に成功した攻撃者は、以下のアクションを可能にする:
- セキュリティ・バイパス:CVE-2023-52722/CVE-2024-33869:Ghostscript のファイル・アクセス機能を制限するための、セキュリティ機能 SAFER モードの回避が可能になる。
- 任意のコード実行:CVE-2024-33871 (CVSS:8.8):標的システム上で悪意のコード実行が可能となり、データの窃取/システム侵害に加えて、さらなるマルウェアのインストールへとつながる可能性が生じる。
- 不適切なファイル・アクセス:CVE-2024-33869/CVE-2024-33870:不適切なファイル・アクセス/機密データの搾取/システムの運用妨害を、攻撃者に許す可能性が生じる。
この脆弱性の影響を受けるのは、Ghostscript バージョン 10.03.1 未満を使用しているユーザーである。また、Ghostscript を取り込んでいる、画像エディタ/文書ビューア/印刷システムなどの、各種ソフトウェア・パッケージのユーザーにも影響が生じる。
これらの脆弱性の重大性を考慮すると、すべての Ghostscript ユーザーにとって不可欠なのは、バージョン 10.03.1 への早急なアップデートである。このアップデートを適用せずに放置すると、システムは潜在的な脆弱性にさらされ、壊滅的な結果が生じる可能性がある。
文中にもあるように、Ghostscript を取り込んで機能している、たくさんのアプリケーションがあるはずです。たとえ、Ghostscript がパッチを提供しても、それらのアプリが未対応だと、そこには脆弱性が残ってしまいます。サプライチェーン攻撃が発生する前に、それぞれのアプリ・ベンダーによる対応が進むことを期待します。よろしければ、Ghostscript で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.