sitename
iPhone 13 и их конкуренты — сравниваем характеристики новинок Apple с флагманами на Android и iPhone 12 - «Новости сети»
iPhone 13 и их конкуренты — сравниваем характеристики новинок Apple с флагманами на Android и iPhone 12 - «Новости сети»
МТС и Huawei показали рекордную для России скорость в сети 5G - «Новости сети»
МТС и Huawei показали рекордную для России скорость в сети 5G - «Новости сети»
Представлены Xiaomi 11T и 11T Pro — флагманы с продвинутыми 108-Мп  камерами и зарядкой до 120 Вт - «Новости сети»
Представлены Xiaomi 11T и 11T Pro — флагманы с продвинутыми 108-Мп  камерами и зарядкой до 120 Вт - «Новости сети»
Четыре туриста и ни одного астронавта: сегодня ночью — запуск в космос первой гражданской миссии SpaceX Inspiration4 - «Новости сети»
Четыре туриста и ни одного астронавта: сегодня ночью — запуск в космос первой гражданской миссии SpaceX Inspiration4 - «Новости сети»
Apple прекратила продажи iPhone XR и старшей версии iPhone SE с 256 Гбайт памяти - «Новости сети»
Apple прекратила продажи iPhone XR и старшей версии iPhone SE с 256 Гбайт памяти - «Новости сети»
Как начать игорный бизнес в интернете!
Как начать игорный бизнес в интернете!
Instagram тестирует новую функцию «Монтаж» для историй - «Новости»
Instagram тестирует новую функцию «Монтаж» для историй - «Новости»
В приложении ВКонтакте теперь можно менять фон и цвет сообщений - «Новости»
В приложении ВКонтакте теперь можно менять фон и цвет сообщений - «Новости»
Проверьте вашего партнера, заказчика или исполнителя прямо в поиске Яндекса — «Блог для вебмастеров»
Проверьте вашего партнера, заказчика или исполнителя прямо в поиске Яндекса — «Блог для вебмастеров»
Для свежей уязвимости в Ghostscript опубликован PoC-эксплоит - «Новости»
Для свежей уязвимости в Ghostscript опубликован PoC-эксплоит - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Для свежей уязвимости в Ghostscript опубликован PoC-эксплоит - «Новости»

На этой неделе в сети появился PoC-эксплоит для неисправленной уязвимости в Ghostscript. Проблема подвергает опасности все серверы, использующие этот компонент.


Эксплоит был опубликован вьетнамским и ИБ-специалистом, который известен в сети под псевдонимом Nguyen The Duc. Код уже доступен на GitHub, а эффективность эксплоита подтверждена несколькими ведущими исследователями.



Ghostscript, появившийся еще в 1988 году, представляет собой небольшую библиотеку, которая позволяет приложениям обрабатывать документы PDF и файлы на основе PostScript. Хотя в основном Ghostscript применяется в десктопном софте, он также используется и на стороне сервера, так как зачастую включен в наборы инструментов для конвертации изображений и загрузки файлов, к примеру, в ImageMagick.

Представленный на этой неделе эксплоит позволяет злоумышленнику загрузить искаженный файл SVG, который осуществляет побег из обработчика изображений и запускает вредоносный код в базовой ОС.

Интересно, что уязвимость, для которой был создан эксплоит, обнаружил не Nguyen The Duc. Эта заслуга принадлежит техническому директору и основателю компании Wunderfund Эмилю Лернеру (Emil Lerner), который нашел баг еще прошлом году и использовал его для получения вознаграждений от таких компаний, как Airbnb, Dropbox и «Яндекс». Детальная информация об  уязвимости стала достоянием общественности в прошлом месяце, после того как Лернер выступил на конференции ZeroNight с докладом. 


Издание The Record сообщает, что патча для этой уязвимости все еще нет, более того, компания Artifex, стоящая за разработкой Ghostscript, сообщила, что официально об этой проблеме ее никто не уведомлял. В компании заявили, что «все больше разочаровываются в ИБ-исследователях, которые пренебрегают этичным раскрытием потенциально опасных уязвимостей безопасности», и пообещали выпустить исправление в самое ближайшее время.

CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через: