Head Topics

Ghostscriptの脆弱性は“過小評価”? 専門家の間で議論が巻き起こる:セキュリティニュースアラート

会員限定 ニュース

Ghostscriptの脆弱性は“過小評価”? 専門家の間で議論が巻き起こる:セキュリティニュースアラート
ニュースセキュリティ
  • 📰 topitmedia
  • ⏱ Reading Time:
  • 42 sec. here
  • 4 min. at publisher
  • 📊 Quality Score:
  • News: 27%
  • Publisher: 51%

The Registerは、Ghostscriptの脆弱性(CVE-2024-29510)がセキュリティ専門家たちの間で議論を巻き起こしていると報じた。CVE-2024-29510に対する各セキュリティベンダーらによる深刻度評価が過小評価されている可能性があるという。

英国のIT ニュース メディア「The Register」は2024年7月5日(現地時間)、PostScript向けインタープリタ「Ghostscript」の脆弱(ぜいじゃく)性が セキュリティ 専門家たちを悩ませていると報じた。一部の セキュリティ 専門家の間ではこの脆弱性が原因で今後数カ月以内に大規模な侵害が発生する可能性があるとの懸念が広がっているという。

Ghostscriptは「UNIX」系OSや「Windows」「macOS」などさまざまなプラットフォームでPDFや画像ファイルを表示、印刷、変換するために利用されているPostscriptおよびAdobe PDFインタープリターだ。多くのディストリビューションにデフォルトでインストールされており、印刷や変換操作をサポートするため、さまざまなパッケージで使われている。議論の対象となっているGhostscriptの脆弱性はCVE-2024-29510として特定されており、Tenableによる深刻度評価では「警告」(Medium)に分類されている。「Artifex Ghostscript 10.03.1」より前のバージョンに存在する脆弱性とされ、ユニプリントデバイスを使用したフォーマット文字列インジェクションにより、メモリ破壊やSAFERサンドボックスの回避が可能とされている。

2024年3月に報告されたこの脆弱性は同年4月にリリースされたArtifex Ghostscript 10.03.1で軽減された。しかしCVE-2024-29510が公開されたことでセキュリティ専門家に再び調査が実施され、議論されているという。 The Registerによると、オランダのセキュリティ企業であるCodean Labsの主任セキュリティアナリスト、トーマス・リンスマ氏は、Ghostscriptを実行するマシンでリモートコード実行を実現するエクスプロイトを発見した。この発見に対してサイバーセキュリティの専門家たちの間でリンスマ氏の研究が議論され、深刻度評価が過小評価されている可能性があるという。

この脆弱性が適切に評価されない場合、必要なパッチや緩和策が適用されない可能性があり、重大な違反が発生するリスクが高まることが予想されている。Ghostscriptの普及度合いから評価の見直しが求められている。

このニュースをすぐに読めるように要約しました。ニュースに興味がある場合は、ここで全文を読むことができます。 続きを読む:

topitmedia /  🏆 93. in JP

ニュース セキュリティ

日本 最新ニュース, 日本 見出し

Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。

Microsoftのセキュリティ設計にまたもや“穴” 多くの企業がダウンロードした「ニセの拡張機能」とは:セキュリティニュースアラートMicrosoftのセキュリティ設計にまたもや“穴” 多くの企業がダウンロードした「ニセの拡張機能」とは:セキュリティニュースアラート人気の拡張機能を模倣した偽の拡張機能を、多くの企業がインストールしてしまった。実験を通じて発覚した「セキュリティの穴」とは。
続きを読む »

Splunkが製品ポートフォリオ全体にAIを搭載 業務の効率化と簡素化に寄与:セキュリティニュースアラートSplunkが製品ポートフォリオ全体にAIを搭載 業務の効率化と簡素化に寄与:セキュリティニュースアラートSplunkは同社の製品ポートフォリオ全体にAIソリューションを導入する。生成AIツール「Splunk AI Assistant」が製品に組み込まれることで自然言語での情報検索やクエリの生成などが可能になる。
続きを読む »

クラウドサービスのセキュリティ対策はどのくらい「ちゃんとしていない」か:セキュリティニュースアラートクラウドサービスのセキュリティ対策はどのくらい「ちゃんとしていない」か:セキュリティニュースアラートアシュアードはクラウドサービスの機能と権限設定に関する調査結果を公開した。主な調査結果としてアクセス権限変更の事前通知不足や他サービス連携機能の管理者権限設定の欠如などが明らかにされている。
続きを読む »

ダウンタイムで失うのは金銭だけではない 調査で判明した“思わぬ影響”:セキュリティニュースアラートダウンタイムで失うのは金銭だけではない 調査で判明した“思わぬ影響”:セキュリティニュースアラートSplunkはグローバル調査レポート「ダウンタイムの隠れたコスト(The Hidden Costs of Downtime)」を公開した。同調査から、ダウンタイムによる経済的損失とそれに関連した損害をもたらす複数の影響が明らかになった。
続きを読む »

Fortinetの脆弱性を悪用 中国が支援するサイバースパイ活動は「思っていたよりも広範囲」:セキュリティニュースアラートFortinetの脆弱性を悪用 中国が支援するサイバースパイ活動は「思っていたよりも広範囲」:セキュリティニュースアラートオランダ国立サイバーセキュリティセンターは、中国当局が支援しているとみられる脅威アクターのサイバースパイ活動が、「これまで考えられていたよりも広範囲に影響を与えている」と警告した。具体的にどの程度の影響を及ぼしているのか。
続きを読む »

GSユアサがセキュリティ対策を強化 早期発見・対応を重視して選んだサービスとは?:セキュリティニュースアラートGSユアサがセキュリティ対策を強化 早期発見・対応を重視して選んだサービスとは?:セキュリティニュースアラート二次電池メーカー大手のGSユアサがセキュリティリスクの早期発見と対策のために新しくサービスを導入した。診断サービスと併せて導入することで「業務負担軽減にもつながっている」と同社が評価するサービスとは。
続きを読む »



Render Time: 2025-02-24 03:16:30