بعد اسبوعين القضية الحاسمة الماضية في 4 ثغرات أمنية مشابهة (CVE-2019-14811، CVE-2019-14812، CVE-2019-14813، CVE-2019-14817)، والتي تسمح بإنشاء رابط إلى ".forceput" لتجاوز وضع العزل "-dSAFER" . عند معالجة مستندات مصممة خصيصًا، يمكن للمهاجم الوصول إلى محتويات نظام الملفات وتنفيذ تعليمات برمجية عشوائية على النظام (على سبيل المثال، عن طريق إضافة أوامر إلى ~/.bashrc أو ~/.profile). الإصلاح متاح كتصحيحات (, ). يمكنك تتبع مدى توفر تحديثات الحزمة في التوزيعات على هذه الصفحات: , , , , , , , .
تذكر أن الثغرات الأمنية في Ghostscript تشكل خطرًا متزايدًا ، حيث يتم استخدام هذه الحزمة في العديد من التطبيقات الشائعة لمعالجة تنسيقات PostScript و PDF. على سبيل المثال ، يتم استدعاء Ghostscript عند إنشاء صور مصغرة لسطح المكتب ، وعند فهرسة البيانات في الخلفية ، وعند تحويل الصور. للحصول على هجوم ناجح ، في كثير من الحالات ، يكفي تنزيل ملف الاستغلال أو تصفح الدليل به في Nautilus. يمكن أيضًا استغلال الثغرات الأمنية في Ghostscript من خلال معالجات الصور القائمة على حزم ImageMagick و GraphicsMagick عن طريق تمرير ملف JPEG أو PNG يحتوي على رمز PostScript بدلاً من صورة (ستتم معالجة مثل هذا الملف في Ghostscript ، حيث يتم التعرف على نوع MIME بواسطة المحتوى ، ودون الاعتماد على الامتداد).
المصدر: opennet.ru