Twee weke daarna verlede kritieke kwessie in Nog 4 soortgelyke kwesbaarhede (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), wat dit moontlik maak deur 'n skakel na ".forceput" te skep om die "-dSAFER" isolasiemodus te omseil . Wanneer spesiaal ontwerpte dokumente verwerk word, kan 'n aanvaller toegang verkry tot die inhoud van die lêerstelsel en arbitrêre kode op die stelsel uitvoer (byvoorbeeld deur opdragte by ~/.bashrc of ~/.profile by te voeg). Die oplossing is beskikbaar as pleisters (, ). U kan die beskikbaarheid van pakketopdaterings in verspreidings op hierdie bladsye naspoor: , , , , , , , .
Onthou dat die kwesbaarhede in Ghostscript 'n groter risiko inhou, aangesien hierdie pakket in baie gewilde toepassings vir die verwerking van PostScript- en PDF-formate gebruik word. Byvoorbeeld, Ghostscript word genoem wanneer lessenaar-kleinkiekies geskep word, wanneer data op die agtergrond geïndekseer word en wanneer beelde omgeskakel word. Vir 'n suksesvolle aanval is dit in baie gevalle genoeg om bloot die ontginningslêer af te laai of deur die gids daarmee in Nautilus te blaai. Kwesbaarhede in Ghostscript kan ook uitgebuit word deur beeldverwerkers gebaseer op die ImageMagick- en GraphicsMagick-pakkette deur vir hulle 'n JPEG- of PNG-lêer deur te gee wat PostScript-kode bevat in plaas van 'n prent (so 'n lêer sal in Ghostscript verwerk word, aangesien die MIME-tipe herken word deur die inhoud, en sonder om op die uitbreiding staat te maak).
Bron: opennet.ru