Праз два тыдні з моманту мінулай крытычнай праблемы ў яшчэ 4 падобныя ўразлівасці (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), якія дазваляюць праз стварэнне спасылкі на ".forceput" абыйсці рэжым ізаляцыі "-dSAFER". Пры апрацоўцы спецыяльна аформленых дакументаў атакавалы можа атрымаць доступ да змесціва ФС і дамагчыся выкананні адвольнага кода ў сістэме (напрыклад, праз даданне каманд у ~/.bashrc або ~/.profile). Выпраўленне даступна ў выглядзе патчаў (, ). За з'яўленнем абнаўлення пакетаў у дыстрыбутывах можна прасачыць на дадзеных старонках: , , , , , , , .
Нагадаем, што ўразлівасці ў Ghostscript уяўляюць падвышаную небяспеку, бо дадзены пакет выкарыстоўваецца ў шматлікіх папулярных прыкладаннях для апрацоўкі фарматаў PostScript і PDF. Напрыклад, Ghostscript выклікаецца падчас стварэнняў мініяцюр на працоўным стале, пры фонавай індэксацыі дадзеных і пры пераўтварэнні малюнкаў. Для паспяховага нападу ў шматлікіх выпадках досыць проста загрузіць файл з эксплоітам ці прагледзець каталог з ім у Nautilus. Уразлівасці ў Ghostscript таксама можна эксплуатаваць праз апрацоўшчыкі малюнкаў на базе пакетаў ImageMagick і GraphicsMagick, перадаўшы ў іх JPEG або PNG-файл, у якім замест карцінкі знаходзіцца код PostScript (такі файл будзе апрацаваны ў Ghostscript, бо MIME-тып распазнаецца па змесціве, а не належачы на пашырэнне).
Крыніца: opennet.ru