कलाकार
Google सुरक्षा शोधकर्ता, ताविस ओरमंडी, और स्टीव गिगेरे, जो सिनोप्सिस के लिए एक EMEA इंजीनियर है, के एक रिपोर्ट के बाद, Adobe Postcript और PDF दस्तावेज़ों को ऑनलाइन समझने के लिए उपयोग किए जाने वाले घोस्टस्क्रिप्ट इंटरप्रेटर में एक भेद्यता सामने आई है। जैसा कि घोस्टस्क्रिप्ट पृष्ठ वर्णनात्मक भाषा दुभाषिया कई कार्यक्रमों और डेटाबेसों में सबसे अधिक नियोजित प्रणाली है, इस भेद्यता में बड़े पैमाने पर शोषण और प्रभाव होता है यदि हेरफेर किया गया हो।
गिगुएरे द्वारा जारी किए गए बयान के अनुसार, घोस्टस्क्रिप्ट एक प्रभावशाली रूप से व्यापक रूप से अपनाया गया व्याख्या प्रणाली है जो एडोब पोस्टस्क्रिप्ट और पीडीएफ प्रारूपों को समझने के लिए ऑनलाइन सर्वर और डेटा प्रबंधन ग्राहकों में उपयोग किया जाता है। संकुल GIMP और ImageMagick उदाहरण के लिए वह नोट विशेष रूप से पीडीएफ के संदर्भ में वेब विकास के लिए अभिन्न अंग हैं।
यदि भूतलस्क्रिप्ट के साथ खोज की गई संबंधित भेद्यता का शोषण किया जाता है, तो यह गोपनीयता के उल्लंघन और एक गंभीर डेटा उल्लंघन के लिए उधार देता है जिसके माध्यम से दुर्भावनापूर्ण हमलावर निजी फ़ाइलों तक पहुंच प्राप्त कर सकते हैं। गिगुएरे कहते हैं कि “यह घोस्टस्क्रिप्ट कारनामे खुले स्रोत सॉफ़्टवेयर पैकेजों पर निर्भरता का एक प्रीमियम उदाहरण है, जहां कोर घटक की निर्भरता आसानी से उन्नत नहीं हो सकती है। यहां तक कि जब सीवीई कुछ इस तरह से जुड़ा होता है, और एक फिक्स उपलब्ध होता है, तो पैकेज में एक सेकेंडरी विलंब होगा, जो इसे अपने सॉफ्टवेयर में शामिल करते हैं जैसे कि इमेजमैजिक एक फिक्स के साथ एक संस्करण जारी करता है। ”
गिगुएरे के अनुसार, यह दूसरी श्रेणी में देरी का कारण बनता है क्योंकि इस का शमन, लेखकों द्वारा सीधे अपने मूल में इस मुद्दे को हल करने पर निर्भर करता है जैसे ही यह उठता है, सबसे पहले, लेकिन यह अपने आप में कोई उपयोग नहीं है अगर ये हल किए गए घटक वेब सर्वर पर अपलोड नहीं किए जाते हैं और अनुप्रयोग जो उनका उपयोग करते हैं। मुद्दों को मूल रूप से हल किया जाना चाहिए और फिर अद्यतन किया जाना चाहिए जहां वे सीधे प्रभावी शमन के लिए उपयोग किए जा रहे हैं। चूंकि यह एक दो चरण की प्रक्रिया है, यह हर समय दुर्भावनापूर्ण हमलावरों को प्रदान कर सकता है कि उन्हें इस प्रकार की भेद्यता का फायदा उठाने की आवश्यकता है।
शमन की युक्तियाँ “अल्पावधि में, डिफ़ॉल्ट रूप से पीएस, ईपीएस, पीडीएफ और एक्सपीएस कोडर्स को अक्षम करने की सलाह एकमात्र बचाव है - जब तक कि एक फिक्स उपलब्ध नहीं है। तब तक, अपने दरवाजे बंद कर दें और शायद पेपर कॉपी पढ़ें! '
