ከሁለት ሳምንታት በኋላ ያለፈው ወሳኝ ጉዳይ በ 4 ተጨማሪ ተመሳሳይ ተጋላጭነቶች (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), ይህም የ ".forceput" አገናኝ በመፍጠር የ "-dSAFER" ማግለል ሁነታን ለማለፍ ያስችላል. . በልዩ ሁኔታ የተነደፉ ሰነዶችን ሲያካሂድ አጥቂ የፋይል ስርዓቱን ይዘቶች ማግኘት እና በሲስተሙ ላይ የዘፈቀደ ኮድ (ለምሳሌ ~/.bashrc ወይም ~/.profile ላይ ትዕዛዞችን በማከል) ሊፈጽም ይችላል። ጥገናው እንደ ፕላስተር ይገኛል (, ). በስርጭቶች ውስጥ የጥቅል ማሻሻያ መገኘቱን በእነዚህ ገጾች ላይ መከታተል ይችላሉ፡- , , , , , , , .
ይህ ፓኬጅ ለፖስትስክሪፕት እና ፒዲኤፍ ቅርጸቶች በብዙ ታዋቂ መተግበሪያዎች ውስጥ ጥቅም ላይ ስለሚውል በGhostscript ውስጥ ያሉ ተጋላጭነቶች የበለጠ ስጋት እንደሚፈጥሩ ያስታውሱ። ለምሳሌ Ghostscript ተብሎ የሚጠራው የዴስክቶፕ ጥፍር አከሎችን ሲፈጥር፣ ከበስተጀርባ ያለውን መረጃ ሲጠቁም እና ምስሎችን በሚቀይሩበት ጊዜ ነው። ለተሳካ ጥቃት በብዙ አጋጣሚዎች የብዝበዛ ፋይልን ማውረድ ወይም ማውጫውን በ Nautilus ውስጥ ማሰስ ብቻ በቂ ነው። በGhostscript ውስጥ ያሉ ተጋላጭነቶች እንዲሁ በImageMagick እና GraphicsMagick ጥቅሎች ላይ ተመስርተው የ JPEG ወይም PNG ፋይልን ከምስል ይልቅ የፖስትስክሪፕት ኮድ የያዘ ፋይል በማለፍ ጥቅም ላይ ሊውሉ ይችላሉ (እንዲህ ያለው ፋይል በGhostscript ውስጥ ይሰራል፣ የMIME አይነት የሚታወቀው በ ይዘቱ, እና በቅጥያው ላይ ሳይመሰረቱ).
ምንጭ: opennet.ru