Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

画像処理ソフト「Ghostscript」にRCE脆弱性 - パッチの適用を

「PostScriptファイル」や「PDF」を処理するインタプリタ「Ghostscript」に、任意のコマンドを実行されるおそれがある脆弱性が明らかとなった。実証コードをはじめ、詳細がすでに公開されている。

同ソフトウェアにおいて、ディレクトリに対するアクセス制御が不十分なため、細工したコンテンツを処理すると任意のコマンドを実行されるおそれがある脆弱性「CVE-2021-3781」が明らかとなったもの。

「Ghostscript/GhostPDL 9.54.0」「同9.53.3」「同9.52」「同9.50」に脆弱性が存在するが、「Windows」環境では脆弱性の影響を受けないとしている。

Artifex Softwareでは、アドバイザリを公表し、パッチを適用するよう利用者へ注意喚起を行った。修正版となる「同9.55.0」については9月末にリリースする予定。

同脆弱性に関してJPCERTコーディネーションセンターは、脆弱性の詳細や実証コードが公開済みであると指摘。同ソフトや依存するソフトウェアを利用している場合は、対策を講じるよう呼びかけている。

(Security NEXT - 2021/09/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「GarageBand」にセキュリティアップデート - 脆弱性1件を修正
「JSONata」にプロトライプ汚染の脆弱性 - アップデートにて修正
「WordPress」向けのマルウェア対策やWAFプラグインに脆弱性 - 公開中止に
Cisco、「IOS XR」に関するセキュリティアドバイザリ7件を公開
「Apache Tomcat」に脆弱性、2月の更新で修正済み - 「同8.5」系統は3月末にEOL
Palo Altoの「PAN-OS」や「GlobalProtect App」に脆弱性
バックアップ製品「Arcserve UDP」に脆弱性 - 影響大きくPoCも公開
ファイル転送製品「FileCatalyst」に深刻な脆弱性 - 2023年8月の更新で修正
SonicWallの「SonicOS」やメールセキュリティ製品に脆弱性
ビデオ会議サービス「Zoom Rooms」に複数の脆弱性