Ghostscriptda xavfli zaiflik aniqlandi.
Zaiflik Ghostscript kodining xato bildirishnomalari orqali o’zi haqida juda ko’p ma’lumotni oshkor qilishidadir.
Google Project Zero kompaniyasining xavfsizlik bo’yicha tadqiqotchisi Tavis Ormandy mashhur PDF tarjimoni Ghostscriptning yangi versiyasini o’rganib chiqqandan so’ng, dasturning barcha versiyalarida 9.26 gacha qisman yamalgan zaiflikni aniqladi. Ormandy bu muammoni o’tgan yilning 11 dekabrida Artifexdagi Ghostscript dasturchilari tomonidan unga yuborilgan yamoqni tahlil qilayotganda aniqladi. Yamoq samarasiz bo’lib chiqdi, shuning uchun tadqiqotchi bu muammo haqida faqat dasturning yangi, tuzatilgan versiyasi chiqarilgandan keyingina ommaga xabar berdi.
Ghostscript – bu Unixga o’xshash operatsion tizimlar foydalanuvchilariga PDF fayllarini ko’rish imkonini beruvchi ochiq kodli Postscript va Adobe PDF tarjimoni. Bu zaiflik Ghostscript veb-serverlariga ham ta’sir qiladi, chunki ImageMagick kabi vositalar to’plami foydalanuvchilar tomonidan ko’rilgan PDF fayllari va tasvirlarni o’zgartirish uchun unga tayanadi.
Zaiflik Ghostscript kodining xato bildirishnomalari orqali o’zi haqida juda ko’p ma’lumotni oshkor qilishida yotadi, bu esa tajovuzkor tomonidan boshqarilishi mumkin. Muammo soxta differentsial operatorlar ichida yashiringan kichik dasturlardan kelib chiqadi. Kichik dasturlarni foydalanuvchi ko’rinishidan himoya qilish uchun ular faqat bajariladigan deb belgilanishi kerak. Biroq, Ormandyning so’zlariga ko’ra, kichik dastur tarkibini xato ishlov beruvchilarda oshkor bo’lishidan ham himoya qilish kerak. Bunga odef buyrug’i yordamida erishiladi, bu esa kichik dasturlarni soxta differentsial operatorlarga aylantiradi.
Biroq, tadqiqotchining ta’kidlashicha, psevdodifferentsial operatorlar yetarli himoya emas. «Psevdodifferentsial operatorlardagi kichik dasturlarning o’zi psevdodifferentsial operatorlar bo’lishi kerak», deb yozadi Ormandy. Agar dasturchi buni unutgan bo’lsa yoki shunchaki bundan bexabar bo’lsa, operatorlar baribir operand stekida qolishi mumkin. Agar kodda stekning toshib ketishi xatosi yuzaga kelsa, operand steki xato ishlov beruvchiga ta’sir qiladi, bu esa uni ko’rish va undan foydalanish imkonini beradi.
