Google Project Zero安全团队的研究人员最近在Ghostscript中发现了一个远程执行代码(RCE)漏洞,Ghostscript是一款用于Adobe系统中PostScript和PDF页面描述的开源编译器。该编译器使用C语言编写,可以在跨操作系统包括windows、macOS和其他UNIX平台上运行,用于将PostScript语言文件(EPS)编译成许多类似PDF、XPS、PCL或PXL栅格格式文件。
很多常用的PDF和图片编辑软件,例如ImageMagick和GIMP都使用了Ghostscript库文件来分析文件内容并进行文件格式的转换。Ghostscript套件中包含一个称为-dSAFER沙盒保护选项,用于处理不受信的文件,防止执行不安全或是恶意的PostScript脚本。
然而Google Project Zero团队研究人员Tavis Ormandy发现,Ghostscript中包含有多个-dSAFER沙盒漏洞,这些漏洞可以让黑客对操作系统发起远程攻击。黑客只需要生成一个带有恶意代码的文件,通常是PDF, PS, EPS或XPS格式,然后使用具有漏洞的软件打开这些文件就可以远程控制目标主机电脑。截至本文发布,Ghostscript的软件维护方Artifex Software还没有发布任何该漏洞的补丁程序。
根据互联网应急小组的建议,ImageMagick图形处理软件在处理PostScript内容时默认使用Ghostscript库文件,因此非常容易受到攻击。主流的linux操作系统例如RedHat和Ubuntu已经确认会受到该漏洞的影响,而其他的Linux操作系统Arch Linux, CentOS, Debian, Dell,还有Apple操作系统还不能确定是否会受到该漏洞的影响。Tavis Ormandy建议这些主流Linux操作系统尽快禁用处理PS, EPS, PDF,XPS文件。他已经不是第一次发现Ghostscript存在的漏洞,早在2016年10月和去年4月也发现了编号为CVE-2017-8291的软件漏洞。