พบช่องโหว่บน GhostScript ยังไม่มีแพตช์ป้องกันและอาจตกเป็นเป้าหมายการโจมตีได้

นาย Tavis Ormandy นักวิจัยจาก Google Project Zero ได้ค้นพบช่องโหว่ใหม่บน Ghostscript หรือตัว Intepreter ของ Adobe PostScript (เป็นภาษาที่ใช้ในการปริ้นต์เอกสารแต่สามารถประยุกต์ใช้สร้างรูปภาพได้) และภาษา PDF Page Description โดย Ghostscript มีอยู่ในหลายร้อยชุดซอฟต์แวร์ รวมถึงไลบรารี่ของโค้ดด้วยเพื่ออนุญาตให้ซอฟต์แวร์ของทั้งเดสก์ท็อปและเว็บเซิร์ฟเวอร์สามารถจัดการ PostScript และเอกสาร PDF ได้ เช่น ถูกใช้ในการแก้ไขเอกสารหรือดู PDF ต่างๆ เป็นต้น

Credit: ShutterStock.com

นักวิจัยพบว่าผู้โจมตีสามารถส่งไฟล์ PostScript, PDF, EPS หรือ XPS ที่สร้างมาอย่างผิดปกติไปยังเหยื่อเพื่อให้ Ghostscript interpreter บนเครื่องทำการ Execute โค้ดอันตรายของตนได้ ประเด็นของเรื่องคือยังไม่มีแพตช์ออกมาป้องกัน โดยผลกระทบหนักน่าจะตกเป็นของไลบรารี่ตัวประมวลผลรูปอย่าง ImageMagick และ OS ค่าย Linux ที่มีไลบรารี่ตัวนี้ติดมาอยู่แล้ว ซึ่งมีการยืนยันว่าทั้ง RedHat และ Ubuntu ได้รับผลกระทบแน่นอนแล้ว Ormandy แนะว่า “ผมแนะนำผู้ใช้งาน Linux จงไปปิด Ghostscript Coder ใน policy.xml ซะ

ช่องโหว่เกี่ยวกับ GhostScript ถือว่าควรใส่ใจเพราะที่ผ่านมาเคยมีการใช้ช่องโหว่ในปี 2017 โดยแฮ็กเกอร์จากเกาหลีเหนือเพื่อเจาะเข้าไปยังระบบแลกเปลี่ยนเงินดิจิตัลในเกาหลีใต้และขโมยเงินมาแล้ว สรุปง่ายๆ คือเป็นช่องโหว่ที่ทำให้เกิด Remote Code Execution ที่ยังไม่มีแพตช์และมีแนวโน้มโดนโจมตีได้นั่นเอง ดังนั้นผู้เกี่ยวข้องควรติดตามอย่างใกล้ชิดและบรรเทาปัญหาเบื้องต้นไปก่อน


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Intel พัฒนาชิปใหม่ ช่วยป้องกันการโจมตีด้วยฮาร์ดแวร์

Intel เผยโครงการพัฒนาชิปใหม่ Tunable Replica Circuit (TRC) ซึ่งออกแบบมาใช้สำหรับป้องกันการโจมตีทางไซเบอร์ที่ใช้ฮาร์ดแวร์เป็นเส้นทางในการโจมตี โดยมีความสามารถในการตรวจจับการโจมตีทั่วไปที่เกิดจาก Hardware-based ได้ และสามารถแจ้งผู้ดูแลระบบในทราบถึงเหตุการณ์ที่เกิด พร้อมกับช่วยป้องกันกันการโจมตีนั้นๆ

Cisco โดนแฮ็กโดยแก๊งแรนซัมแวร์ Yanluowang

Cisco ออกมายอมรับว่า ได้ถูกแก๊งแรนซัมแวร์ Yanluowang ลุกล้ำเข้ามาในเครือข่ายขององค์กรจริง เหตุการณ์เกิดขึ้นเมื่อช่วงปลายเดือนพฤษภาคมที่ผ่านมา และยังถูกรีดไถจากไฟล์ข้อมูลที่ถูกโจรกรรมออกไป