Die reeks kwesbaarhede hou nie op nie (, , , , , ) in , 'n stel gereedskap vir die verwerking, omskakeling en generering van PostScript- en PDF-dokumente. Soos vorige kwesbaarhede () laat toe om, wanneer spesiaal ontwerpte dokumente verwerk word, die "-dSAFER" isolasiemodus te omseil (deur manipulasies met ".buildfont1") en toegang te verkry tot die inhoud van die lêerstelsel, wat gebruik kan word om 'n aanval te organiseer om arbitrêre kode uit te voer in die stelsel (byvoorbeeld deur opdragte by ~ /.bashrc of ~/.profiel by te voeg). Die oplossing is beskikbaar as . U kan die voorkoms van pakketopdaterings in verspreidings op hierdie bladsye volg: , , , , , , .
Onthou dat die kwesbaarhede in Ghostscript 'n groter risiko inhou, aangesien hierdie pakket in baie gewilde toepassings vir die verwerking van PostScript- en PDF-formate gebruik word. Byvoorbeeld, Ghostscript word genoem wanneer lessenaar-kleinkiekies geskep word, wanneer data op die agtergrond geïndekseer word en wanneer beelde omgeskakel word. Vir 'n suksesvolle aanval is dit in baie gevalle genoeg om bloot die ontginningslêer af te laai of deur die gids daarmee in Nautilus te blaai. Kwesbaarhede in Ghostscript kan ook uitgebuit word deur beeldverwerkers gebaseer op die ImageMagick- en GraphicsMagick-pakkette deur vir hulle 'n JPEG- of PNG-lêer deur te gee wat PostScript-kode bevat in plaas van 'n prent (so 'n lêer sal in Ghostscript verwerk word, aangesien die MIME-tipe herken word deur die inhoud, en sonder om op die uitbreiding staat te maak).
Bron: opennet.ru