Paglabay sa duha ka semana miaging kritikal nga isyu sa 4 pa ka susama nga mga kahuyangan (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), nga nagtugot pinaagi sa paghimo og link sa ".forceput" sa paglaktaw sa "-dSAFER" isolation mode . Kung giproseso ang espesyal nga gidisenyo nga mga dokumento, ang usa ka tig-atake makakuha og access sa mga sulud sa file system ug magpatuman sa arbitraryong code sa sistema (pananglitan, pinaagi sa pagdugang mga mando sa ~/.bashrc o ~/.profile). Ang pag-ayo magamit ingon mga patch (, ). Mahimo nimong masubay ang pagkaanaa sa mga update sa pakete sa mga pag-apod-apod sa kini nga mga panid: , , , , , , , .
Hinumdumi nga ang mga kahuyangan sa Ghostscript naghatag usa ka dugang nga peligro, tungod kay kini nga pakete gigamit sa daghang mga sikat nga aplikasyon alang sa pagproseso sa mga format sa PostScript ug PDF. Pananglitan, gitawag ang Ghostscript sa paghimo sa mga thumbnail sa desktop, kung nag-index sa datos sa background, ug kung nag-convert sa mga imahe. Alang sa malampuson nga pag-atake, sa daghang mga kaso, igo na ang pag-download sa exploit file o pag-browse sa direktoryo niini sa Nautilus. Ang mga kahuyangan sa Ghostscript mahimo usab nga pahimuslan pinaagi sa mga tigproseso sa imahe base sa ImageMagick ug GraphicsMagick nga mga pakete pinaagi sa pagpasa kanila og JPEG o PNG nga file nga adunay PostScript code imbes sa usa ka imahe (ang ingon nga file iproseso sa Ghostscript, tungod kay ang tipo sa MIME giila sa ang sulod, ug walay pagsalig sa extension).
Source: opennet.ru