Для свежей уязвимости в Ghostscript опубликован PoC-эксплоит - «Новости» » Интернет технологии
sitename
Электронные онлайн-замки для гостиниц: революционный шаг в обеспечении безопасности и комфорта
Электронные онлайн-замки для гостиниц: революционный шаг в обеспечении безопасности и комфорта
Вчерашний полёт Starship приблизил Илона Маска к отправке 1000 звездолётов на Марс каждые 26 месяцев - «Новости сети»
Вчерашний полёт Starship приблизил Илона Маска к отправке 1000 звездолётов на Марс каждые 26 месяцев - «Новости сети»
Китайские власти негласно обязали производителей электромобилей перейти на местные чипы - «Новости сети»
Китайские власти негласно обязали производителей электромобилей перейти на местные чипы - «Новости сети»
Учёные открыли первый в мире природный нетрадиционный сверхпроводник - «Новости сети»
Учёные открыли первый в мире природный нетрадиционный сверхпроводник - «Новости сети»
В самых современных процессорах Intel нашли уязвимость — патчи отнимут до 10 % производительности - «Новости сети»
В самых современных процессорах Intel нашли уязвимость — патчи отнимут до 10 % производительности - «Новости сети»
Оператора криптомиксера Bitcoin Fog признали виновным в отмывании 400 млн долларов - «Новости»
Оператора криптомиксера Bitcoin Fog признали виновным в отмывании 400 млн долларов - «Новости»
Microsoft, Amazon и Google заблокируют российским компаниям доступ к своим облачным сервисам - «Новости сети»
Microsoft, Amazon и Google заблокируют российским компаниям доступ к своим облачным сервисам - «Новости сети»
Даркнет-маркетплейс Incognito шантажирует собственных пользователей - «Новости»
Даркнет-маркетплейс Incognito шантажирует собственных пользователей - «Новости»
Новые WebTunnel мосты Tor имитируют HTTPS-трафик - «Новости»
Новые WebTunnel мосты Tor имитируют HTTPS-трафик - «Новости»
Хакеры угоняют eSim для получения доступа к онлайн-банкингу - «Новости»
Хакеры угоняют eSim для получения доступа к онлайн-банкингу - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Для свежей уязвимости в Ghostscript опубликован PoC-эксплоит - «Новости»

На этой неделе в сети появился PoC-эксплоит для неисправленной уязвимости в Ghostscript. Проблема подвергает опасности все серверы, использующие этот компонент.


Эксплоит был опубликован вьетнамским и ИБ-специалистом, который известен в сети под псевдонимом Nguyen The Duc. Код уже доступен на GitHub, а эффективность эксплоита подтверждена несколькими ведущими исследователями.



Ghostscript, появившийся еще в 1988 году, представляет собой небольшую библиотеку, которая позволяет приложениям обрабатывать документы PDF и файлы на основе PostScript. Хотя в основном Ghostscript применяется в десктопном софте, он также используется и на стороне сервера, так как зачастую включен в наборы инструментов для конвертации изображений и загрузки файлов, к примеру, в ImageMagick.

Представленный на этой неделе эксплоит позволяет злоумышленнику загрузить искаженный файл SVG, который осуществляет побег из обработчика изображений и запускает вредоносный код в базовой ОС.

Интересно, что уязвимость, для которой был создан эксплоит, обнаружил не Nguyen The Duc. Эта заслуга принадлежит техническому директору и основателю компании Wunderfund Эмилю Лернеру (Emil Lerner), который нашел баг еще прошлом году и использовал его для получения вознаграждений от таких компаний, как Airbnb, Dropbox и «Яндекс». Детальная информация об  уязвимости стала достоянием общественности в прошлом месяце, после того как Лернер выступил на конференции ZeroNight с докладом. 


Издание The Record сообщает, что патча для этой уязвимости все еще нет, более того, компания Artifex, стоящая за разработкой Ghostscript, сообщила, что официально об этой проблеме ее никто не уведомлял. В компании заявили, что «все больше разочаровываются в ИБ-исследователях, которые пренебрегают этичным раскрытием потенциально опасных уязвимостей безопасности», и пообещали выпустить исправление в самое ближайшее время.


На этой неделе в сети появился PoC-эксплоит для неисправленной уязвимости в Ghostscript. Проблема подвергает опасности все серверы, использующие этот компонент. Эксплоит был опубликован вьетнамским и ИБ-специалистом, который известен в сети под псевдонимом Nguyen The Duc. Код уже доступен на GitHub, а эффективность эксплоита подтверждена несколькими ведущими исследователями. This is indeed a thing. https://t.co/W3yVcUnTJz pic.twitter.com/mDEih91fRa
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через:
Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика Яндекс.Метрика