พบช่องโหว่บน GhostScript ยังไม่มีแพตช์ป้องกันและอาจตกเป็นเป้าหมายการโจมตีได้

นาย Tavis Ormandy นักวิจัยจาก Google Project Zero ได้ค้นพบช่องโหว่ใหม่บน Ghostscript หรือตัว Intepreter ของ Adobe PostScript (เป็นภาษาที่ใช้ในการปริ้นต์เอกสารแต่สามารถประยุกต์ใช้สร้างรูปภาพได้) และภาษา PDF Page Description โดย Ghostscript มีอยู่ในหลายร้อยชุดซอฟต์แวร์ รวมถึงไลบรารี่ของโค้ดด้วยเพื่ออนุญาตให้ซอฟต์แวร์ของทั้งเดสก์ท็อปและเว็บเซิร์ฟเวอร์สามารถจัดการ PostScript และเอกสาร PDF ได้ เช่น ถูกใช้ในการแก้ไขเอกสารหรือดู PDF ต่างๆ เป็นต้น

Credit: ShutterStock.com

นักวิจัยพบว่าผู้โจมตีสามารถส่งไฟล์ PostScript, PDF, EPS หรือ XPS ที่สร้างมาอย่างผิดปกติไปยังเหยื่อเพื่อให้ Ghostscript interpreter บนเครื่องทำการ Execute โค้ดอันตรายของตนได้ ประเด็นของเรื่องคือยังไม่มีแพตช์ออกมาป้องกัน โดยผลกระทบหนักน่าจะตกเป็นของไลบรารี่ตัวประมวลผลรูปอย่าง ImageMagick และ OS ค่าย Linux ที่มีไลบรารี่ตัวนี้ติดมาอยู่แล้ว ซึ่งมีการยืนยันว่าทั้ง RedHat และ Ubuntu ได้รับผลกระทบแน่นอนแล้ว Ormandy แนะว่า “ผมแนะนำผู้ใช้งาน Linux จงไปปิด Ghostscript Coder ใน policy.xml ซะ

ช่องโหว่เกี่ยวกับ GhostScript ถือว่าควรใส่ใจเพราะที่ผ่านมาเคยมีการใช้ช่องโหว่ในปี 2017 โดยแฮ็กเกอร์จากเกาหลีเหนือเพื่อเจาะเข้าไปยังระบบแลกเปลี่ยนเงินดิจิตัลในเกาหลีใต้และขโมยเงินมาแล้ว สรุปง่ายๆ คือเป็นช่องโหว่ที่ทำให้เกิด Remote Code Execution ที่ยังไม่มีแพตช์และมีแนวโน้มโดนโจมตีได้นั่นเอง ดังนั้นผู้เกี่ยวข้องควรติดตามอย่างใกล้ชิดและบรรเทาปัญหาเบื้องต้นไปก่อน


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Oracle เผย เขียนโค้ดบน Solaris ใหม่ เปลี่ยนจากภาษา C เป็น Python เร็วขึ้น 17 เท่า

ทีมพัฒนาจาก Oracle ได้ออกมาเผยถึงการเขียนคำสั่ง listusers บน Solaris ใหม่ จากเดิมที่เคยใช้ภาษา C ในการพัฒนา เปลี่ยนมาใช้ Python 3 และพบว่าคำสั่งนี้สามารถทำงานได้เร็วขึ้นถึง 17 เท่า ในขณะที่โค้ดมีความยาวน้อยลงกว่าเดิมถึง 10 เท่า

ชมย้อนหลัง งาน ISS & SAP User Conference 2019

เมื่อวันพฤหัสบดีที่ 17 ตุลาคมที่ผ่านมา ISS Consulting ได้จัดงาน ISS & SAP User Conference 2019 ขึ้นภายใต้ธีม “Innovation Now” …