Тэвис Орманди (Tavis Ormandy) из Google Project Zero обнаружил уязвимость нулевого дня в интерпретаторе Ghostscript, входящем в состав многих программных продуктов и библиотек. Как выяснил ИБ-специалист, баг позволяет злоумышленнику выполнить код на устройстве жертвы, отправив ей файл с вредоносным скриптом.

Ghostscript используется рядом программ для конвертации PostScript-файлов в графический формат и вывода таких документов на печать. Уязвимыми оказались десятки приложений, в том числе такие популярные инструменты, как ImageMagick, Evince и GIMP.

Ошибка выявлена в компоненте -dSAFER, представляющем собой песочницу для выполнения операций в среде PostScript. Как оказалось, в ряде случаев инструмент может разрешить выполнение стороннего кода. Таким образом, злоумышленник способен получить привилегии на запуск своего скрипта, убедив жертву открыть специально подготовленный документ.

Следствием такой атаки может стать кража персональных данных или перехват управления компьютером. Орманди сообщил, что уже обнаружил эксплойт для нового бага в дикой природе.

Брешь выявлена совсем недавно и еще не получила регистрации в базах CVE, а разработчики Ghostscript пока не анонсировали выход заплатки. ИБ-специалисты настоятельно рекомендуют авторам скомпрометированных программных продуктов внести файлы PS, EPS, PDF и XPS в стоп-лист для предотвращения их автоматической обработки.

Помимо критической ошибки побега из песочницы, специалист рассказал о других багах в Ghostscript. Среди них несанкционированное раскрытие информации, повреждение памяти и неверное определение типа объекта.

Тэвис Орманди не в первый раз обнаруживает уязвимость в Ghostscript. Именно он в прошлом году нашел брешь CVE-2017-8291, которую позже использовали северокорейские хакеры для взлома криптосервисов своего южного соседа. Позднее злоумышленники попытались возложить вину за эту атаку на китайского киберпреступника.

Прикладные скриптовые языки, используемые в документах, могут служить источником ИБ-угроз, поскольку допускают выполнение встроенных макросов при открытии файла. В апреле исследователи выяснили, что спецификации PDF разрешают загрузку удаленного контента для некоторых операторов. Используя эту возможность, злоумышленник может похитить логины и пароли пользователей Windows, хранящиеся в виде NTLM-хешей.

Категории: Уязвимости