Kritikus, 0-Day sérülékenységet találtak a GhostScript 9.50 és korábbi verzióiban

A linuxos környezetben dokumentum konverzióra használatos egyik legelterjedtebb függvénykönyvtárban (ghostscript 9.50 és korábbi verziók) távoli kódfuttatási lehetőséget találtak. Már kényelmes eszköz is elérhető, amivel kártékony fájlok gyárthatók: https://github.com/duc-nt/RCE-0-day-for-GhostScript-9.50

Részletesebb információk az alábbi linken érhetők el: https://www.slideshare.net/neexemil/hotpics-2021

Sajnos nem csak a "dokumentumnak látszó tárgyak", hanem bármilyen képfeldolgozási művelet esetén kihasználhatóvá válhat a sérülékenység, ha a kép forrása nem megbízható, mivel a ghostscript sok egyéb feldolgozó eszközben beágyazva működik, a fájl kiterjesztés nem feltétlenül határozza meg azt, hogy a tartalma pontosan hová jut el a rendszerben.

Javasolt a GhostScript frissítése újabb, 9.50 utáni verzióra!