مسلسل الثغرات لا يتوقف (, , , , , ) في ، مجموعة من الأدوات لمعالجة وتحويل وإنشاء المستندات بتنسيقات PostScript وPDF. مثل نقاط الضعف الماضية () يسمح، عند معالجة المستندات المصممة خصيصًا، بتجاوز وضع العزل "-dSAFER" (من خلال المعالجات باستخدام ".buildfont1") والوصول إلى محتويات نظام الملفات، والتي يمكن استخدامها لتنظيم هجوم لتنفيذ تعليمات برمجية عشوائية في النظام (على سبيل المثال، عن طريق إضافة أوامر إلى ~ /.bashrc أو ~/.profile). الإصلاح متاح ك . يمكنك تتبع مدى توفر تحديثات الحزمة في التوزيعات على هذه الصفحات: , , , , , , .
تذكر أن الثغرات الأمنية في Ghostscript تشكل خطرًا متزايدًا ، حيث يتم استخدام هذه الحزمة في العديد من التطبيقات الشائعة لمعالجة تنسيقات PostScript و PDF. على سبيل المثال ، يتم استدعاء Ghostscript عند إنشاء صور مصغرة لسطح المكتب ، وعند فهرسة البيانات في الخلفية ، وعند تحويل الصور. للحصول على هجوم ناجح ، في كثير من الحالات ، يكفي تنزيل ملف الاستغلال أو تصفح الدليل به في Nautilus. يمكن أيضًا استغلال الثغرات الأمنية في Ghostscript من خلال معالجات الصور القائمة على حزم ImageMagick و GraphicsMagick عن طريق تمرير ملف JPEG أو PNG يحتوي على رمز PostScript بدلاً من صورة (ستتم معالجة مثل هذا الملف في Ghostscript ، حيث يتم التعرف على نوع MIME بواسطة المحتوى ، ودون الاعتماد على الامتداد).
المصدر: opennet.ru