hadicanim
Aktif Üye
Kroll’daki BT araştırmacıları, Ghostscript’te belgeler açıldığında kötü amaçlı kodun başlatılmasına yol açabilecek bir güvenlik açığı keşfettiler. Bunun için ayrıca bir demo istismarı (Proof of Concept, PoC) geliştirdiler. BT yöneticileri, mevcut güvenlik güncellemelerini hızlı bir şekilde yüklemelidir.
Reklamcılık
Ghostscript, örneğin Postscript veya PDF dosyalarını görüntülemek ve oluşturmak için popüler bir yazılımdır ve özellikle Linux ortamında popülerdir. Örneğin CUPS basınç sistemi, filtreler için buna güvenir. Ancak LibreOffice, Inkscape veya Scribus ve ImageMagick de yazılımı kullanır. Bu nedenle, Windows bağlantı noktaları genellikle Ghostscript’in Windows sürümüyle birlikte gelir.
Ghostscript: Kritik güvenlik açığı birçok sistemi etkiler
Kroll çalışanları analizlerinde, Ghostscript’in boru cihazları, yani %pipe% kullananlar veya “|” boru karakteriyle daha iyi bilinenler için bir hak kontrolü yaptığını yazıyor. doğru şekilde erişin (CVE-2023-36664, CVSS 9.8risk “kritik“). Hata, 10.01.2 sürümünden önceki Ghostscript’te oluşur.
Güvenlik açığı, hazırlanmış belgeler açılarak suistimal edilebileceğinden, istenmeyen dosyaların alıcıları dikkatli olmalıdır. Yöneticiler ve kullanıcılar Ghostscript’i güncellemelidir. Debian, örneğin diğer dağıtımlarda olduğu gibi hataları giderilmiş paketler sağlar. Kroll, Ghostscript içeren yazılım satıcılarının da güncellenmiş sürümleri yayınlamasını önerir. Bahsi geçen ImageMagick, LibreOffice, Inkscape, Scribus ve benzeri programların kullanıcıları da yazılım güncellemelerine dikkat etmeli ve mümkün olan en kısa sürede kurmalıdır.
Güvenlik açığı, yazılım tedarik zincirindeki güvenlik sorunlarının başka bir örneğidir. Bir iX makalesi, BT yöneticilerinin yazılım tedarik zincirindeki saldırıları nasıl belirleyip bunlara karşı savunma yapabileceklerini açıklıyor.
(dmk)
Haberin Sonu
Reklamcılık
Ghostscript, örneğin Postscript veya PDF dosyalarını görüntülemek ve oluşturmak için popüler bir yazılımdır ve özellikle Linux ortamında popülerdir. Örneğin CUPS basınç sistemi, filtreler için buna güvenir. Ancak LibreOffice, Inkscape veya Scribus ve ImageMagick de yazılımı kullanır. Bu nedenle, Windows bağlantı noktaları genellikle Ghostscript’in Windows sürümüyle birlikte gelir.
Ghostscript: Kritik güvenlik açığı birçok sistemi etkiler
Kroll çalışanları analizlerinde, Ghostscript’in boru cihazları, yani %pipe% kullananlar veya “|” boru karakteriyle daha iyi bilinenler için bir hak kontrolü yaptığını yazıyor. doğru şekilde erişin (CVE-2023-36664, CVSS 9.8risk “kritik“). Hata, 10.01.2 sürümünden önceki Ghostscript’te oluşur.
Güvenlik açığı, hazırlanmış belgeler açılarak suistimal edilebileceğinden, istenmeyen dosyaların alıcıları dikkatli olmalıdır. Yöneticiler ve kullanıcılar Ghostscript’i güncellemelidir. Debian, örneğin diğer dağıtımlarda olduğu gibi hataları giderilmiş paketler sağlar. Kroll, Ghostscript içeren yazılım satıcılarının da güncellenmiş sürümleri yayınlamasını önerir. Bahsi geçen ImageMagick, LibreOffice, Inkscape, Scribus ve benzeri programların kullanıcıları da yazılım güncellemelerine dikkat etmeli ve mümkün olan en kısa sürede kurmalıdır.
Güvenlik açığı, yazılım tedarik zincirindeki güvenlik sorunlarının başka bir örneğidir. Bir iX makalesi, BT yöneticilerinin yazılım tedarik zincirindeki saldırıları nasıl belirleyip bunlara karşı savunma yapabileceklerini açıklıyor.
(dmk)
Haberin Sonu