歡迎光臨
我們一直在努力

關於Ghostscript SAFER沙箱繞過漏洞的分析

原文出處:http://www.freebuf.com/vuls/182095.html

前言
Ghostscript是一款Adobe PostScript語言的直譯器軟體。可對PostScript語言進行繪圖,支援PS與PDF互相轉換。目前大多數Linux發行版中都預設安裝,並移植到了Unix、MacOS、Windows等平臺,且Ghostscript還被ImagineMagic、Python PIL和各種PDF閱讀器等程式所使用。

漏洞描述
8月21日,Google安全研究員Tavis Ormandy披露了多個GhostScript的漏洞,通過在圖片中構造惡意PostScript指令碼,可以繞過SAFER安全沙箱,從而造成命令執行、檔案讀取、檔案刪除等漏洞,其根本原因是GhostScript解析restore命令時,會暫時將參數LockSafetyParams設定為False,從而關閉SAFER模式。

受影響的系統版本
Ghostscript <= 9.23(全版本、全平臺),目前官方暫未釋出更新。

文章圖片來源:http://www.freebuf.com/vuls/182095.html
前言引用來源:http://www.freebuf.com/vuls/182095.html

-------------------
如果你認同支持我們每日分享的文章的話,請幫我們按個讚並且點擊追蹤「搶先看」,這樣就可以快速獲得最新消息囉!
您的分享及點讚,是我們最大的動力來源。
https://www.facebook.com/LonelyPoPo/

贊(0) 打賞
轉載請附上作者連結:波波的寂寞世界 » 關於Ghostscript SAFER沙箱繞過漏洞的分析

波波的寂寞世界

Facebook聯繫我們

覺得文章有用,請作者喝杯咖啡

掃一掃打賞作者狗糧