TARANTINO OBNAL SERVICE №1 на рынке теневых услуг.
Депозит 1 млн.

✔️ Профессиональное сопровождение любых финансовых операций.
✔️ Россия, страны СНГ и Европы:

  • ➢ ФИЗ / ЮР лица
  • ➢ Мерчанты
  • ➢ ЭПС
  • ➢ Sim-карты
  • ➢ Работа с криптой по всему миру
  • ➢ Денежные переводы
ПЕРЕЙТИ К ТЕМЕ
Telegram: https://t.me/TJQ_DM_25
У форума есть зеркало в Тор http://darkmonn6oy55o7kgmwr4jny2gi2zj6hyalzcjgl444dvpalannl5jid.onion
Официальный канал Darkmoney в Телеграм https://t.me/+k1c69d6xQsswYzU0
NEW! 🔥 Чат Darkmoney в Телеграм https://t.me/+q40pcoHjSRVmNTE0

В Ghostscript обнаружена опасная уязвимость

DOMINUS_EDEM

DOMINUS_EDEM

Сервис по Э.П.С.
.
Депозит: 10,000 ₽
Сделки (гарант): 13
20.12.15
949
10,000 ₽
13
Уязвимость заключается в том, что код Ghostscript раскрывает слишком много информации о себе через уведомления об ошибках.​

Изучив новый выпуск популярного PDF-интерпретатора Ghostscript, исследователь безопасности Тэвис Орманди (Tavis Ormandy) из Google Project Zero обнаружил частично исправленную уязвимость во всех версиях программы вплоть до 9.26.

Орманди выявил проблему 11 декабря прошлого года в ходе анализа патча, присланного ему разработчиками Ghostscript из компании Artifex. Патч оказался недостаточно эффективным, поэтому исследователь публично сообщил о проблеме только после выхода новой, исправленной версии программы.

Ghostscript представляет собой интерпретатор Postscript и Adobe PDF с открытым исходным кодом, позволяющий пользователям Unix-подобных ОС просматривать PDF-файлы. Уязвимость также затрагивает web-серверы Ghostscript, поскольку такие наборы инструментов, как ImageMagick, используют его для преобразования просматриваемых пользователями PDF-файлов и изображений.

Уязвимость заключается в том, что код Ghostscript раскрывает слишком много информации о себе через уведомления об ошибках, которые могли контролироваться злоумышленником. Проблема связана с подпрограммами, скрытыми в псевдодифференциальных операторах. Для защиты подпрограмм от глаз пользователей они должны помечаться как executeonly. Однако, по словам Орманди, содержимое подпрограмм также должно быть защищено от отображения в обработчиках ошибок. Для этого используется команда odef, превращающая подпрограммы в псевдодифференциальных операторов.

Однако псевдодифференциальные операторы не являются достаточной защитой, отметил исследователь. «Подпрограммы в псевдодифференциальных операторах сами должны быть псевдодифференциальными операторами», - пишет Орманди. Если программист забыл об этом или просто не знал, то операторы все равно могут оказаться в стеке операндов. При наличии в коде ошибки переполнения стека стек операндов будет открыт перед обработчиком ошибок, и его потенциально можно просмотреть и использовать.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

GLOV
В TikTok обнаружена опасная уязвимость
Ответы
0
Просмотры
338
GLOV
GLOV
DOMINUS_EDEM
Опасная уязвимость позволяет перехват VPN-подключений
Ответы
1
Просмотры
1K
UTYG
UTYG
marti1n
Опасная уязвимости нулевого дня в форумном движке vBulletin
Ответы
2
Просмотры
756
sweetMika7
sweetMika7
SunHo
Опасная уязвимость в Android ставит под угрозу миллионы пользователей
Ответы
0
Просмотры
514
SunHo
SunHo
Forum services
Опасная уязвимость в браузерах. Специалисты советуют отключить Java
Ответы
0
Просмотры
1K
Forum services
Forum services
Назад
Сверху