Ghostscriptの脆弱性は“過小評価”？ 専門家の間で議論が巻き起こる：セキュリティニュースアラート

The Registerは、Ghostscriptの脆弱性（CVE-2024-29510）がセキュリティ専門家たちの間で議論を巻き起こしていると報じた。CVE-2024-29510に対する各セキュリティベンダーらによる深刻度評価が過小評価されている可能性があるという。

[後藤大地，有限会社オングス]

　英国のITニュースメディア「The Register」は2024年7月5日（現地時間）、PostScript向けインタープリタ「Ghostscript」の脆弱（ぜいじゃく）性がセキュリティ専門家たちを悩ませていると報じた。一部のセキュリティ専門家の間ではこの脆弱性が原因で今後数カ月以内に大規模な侵害が発生する可能性があるとの懸念が広がっているという。

　Ghostscriptは「UNIX」系OSや「Windows」「macOS」などさまざまなプラットフォームでPDFや画像ファイルを表示、印刷、変換するために利用されているPostscriptおよびAdobe PDFインタープリターだ。多くのディストリビューションにデフォルトでインストールされており、印刷や変換操作をサポートするため、さまざまなパッケージで使われている。

セキュリティ専門家が警鐘　Ghostscript脆弱性は「過小評価」されている

　議論の対象となっているGhostscriptの脆弱性はCVE-2024-29510として特定されており、Tenableによる深刻度評価では「警告」（Medium）に分類されている。「Artifex Ghostscript 10.03.1」より前のバージョンに存在する脆弱性とされ、ユニプリントデバイスを使用したフォーマット文字列インジェクションにより、メモリ破壊やSAFERサンドボックスの回避が可能とされている。

　2024年3月に報告されたこの脆弱性は同年4月にリリースされたArtifex Ghostscript 10.03.1で軽減された。しかしCVE-2024-29510が公開されたことでセキュリティ専門家に再び調査が実施され、議論されているという。

　The Registerによると、オランダのセキュリティ企業であるCodean Labsの主任セキュリティアナリスト、トーマス・リンスマ氏は、Ghostscriptを実行するマシンでリモートコード実行を実現するエクスプロイトを発見した。この発見に対してサイバーセキュリティの専門家たちの間でリンスマ氏の研究が議論され、深刻度評価が過小評価されている可能性があるという。

　この脆弱性が適切に評価されない場合、必要なパッチや緩和策が適用されない可能性があり、重大な違反が発生するリスクが高まることが予想されている。Ghostscriptの普及度合いから評価の見直しが求められている。