Ghostscriptの脆弱性は“過小評価”? 専門家の間で議論が巻き起こる:セキュリティニュースアラート
The Registerは、Ghostscriptの脆弱性(CVE-2024-29510)がセキュリティ専門家たちの間で議論を巻き起こしていると報じた。CVE-2024-29510に対する各セキュリティベンダーらによる深刻度評価が過小評価されている可能性があるという。
英国のITニュースメディア「The Register」は2024年7月5日(現地時間)、PostScript向けインタープリタ「Ghostscript」の脆弱(ぜいじゃく)性がセキュリティ専門家たちを悩ませていると報じた。一部のセキュリティ専門家の間ではこの脆弱性が原因で今後数カ月以内に大規模な侵害が発生する可能性があるとの懸念が広がっているという。
Ghostscriptは「UNIX」系OSや「Windows」「macOS」などさまざまなプラットフォームでPDFや画像ファイルを表示、印刷、変換するために利用されているPostscriptおよびAdobe PDFインタープリターだ。多くのディストリビューションにデフォルトでインストールされており、印刷や変換操作をサポートするため、さまざまなパッケージで使われている。
セキュリティ専門家が警鐘 Ghostscript脆弱性は「過小評価」されている
議論の対象となっているGhostscriptの脆弱性はCVE-2024-29510として特定されており、Tenableによる深刻度評価では「警告」(Medium)に分類されている。「Artifex Ghostscript 10.03.1」より前のバージョンに存在する脆弱性とされ、ユニプリントデバイスを使用したフォーマット文字列インジェクションにより、メモリ破壊やSAFERサンドボックスの回避が可能とされている。
2024年3月に報告されたこの脆弱性は同年4月にリリースされたArtifex Ghostscript 10.03.1で軽減された。しかしCVE-2024-29510が公開されたことでセキュリティ専門家に再び調査が実施され、議論されているという。
The Registerによると、オランダのセキュリティ企業であるCodean Labsの主任セキュリティアナリスト、トーマス・リンスマ氏は、Ghostscriptを実行するマシンでリモートコード実行を実現するエクスプロイトを発見した。この発見に対してサイバーセキュリティの専門家たちの間でリンスマ氏の研究が議論され、深刻度評価が過小評価されている可能性があるという。
この脆弱性が適切に評価されない場合、必要なパッチや緩和策が適用されない可能性があり、重大な違反が発生するリスクが高まることが予想されている。Ghostscriptの普及度合いから評価の見直しが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
CVSSスコアは10.0 Juniper Networksの複数製品に重大な脆弱性
Juniper Networksは複数の製品に重大な脆弱性が存在するとして、緊急アップデートを公開した。脆弱性はCVSSスコア10.0と評価されており、注意が必要だ。
中堅企業はなぜセキュリティに関心がないのか? 調査で分かった“ある勘違い”
近年、サイバー攻撃の標的は大企業から中堅・中小企業にシフトしている。しかし中堅企業の中には、セキュリティに無頓着なところもあるようだ。その背景にある“勘違い”とは。
OpenSSHにリモートコード実行の致命的な脆弱性 広範囲に影響が及ぶ可能性あり
QualysはOpenSSHサーバに重大な脆弱性があると発表した。この脆弱性は「regreSSHion」と名付けられ「CVE-2024-6387」として特定されている。悪用されるとリモートコード実行の危険性があるため迅速なアップデートが求められる。