Série zranitelností nekončí (, , , , , ) V , sada nástrojů pro zpracování, konverzi a generování dokumentů ve formátech PostScript a PDF. Stejně jako minulé zranitelnosti () umožňuje při zpracování speciálně navržených dokumentů obejít režim izolace „-dSAFER“ (prostřednictvím manipulací s „.buildfont1“) a získat přístup k obsahu souborového systému, který lze použít k organizaci útoku ke spuštění libovolného kódu v systému (například přidáním příkazů do ~ /.bashrc nebo ~/.profile). Oprava je k dispozici jako . Dostupnost aktualizací balíčků v distribucích můžete sledovat na těchto stránkách: , , , , , , .
Připomeňme, že zranitelnosti v Ghostscriptu představují zvýšené riziko, protože tento balíček se používá v mnoha oblíbených aplikacích pro zpracování formátů PostScript a PDF. Ghostscript je například volán při vytváření miniatur na ploše, při indexování dat na pozadí a při převodu obrázků. Pro úspěšný útok stačí v mnoha případech pouhé stažení exploit souboru nebo procházení adresáře s ním v Nautilu. Zranitelnosti v Ghostscriptu lze také zneužít prostřednictvím obrazových procesorů založených na balíčcích ImageMagick a GraphicsMagick tak, že jim předáte soubor JPEG nebo PNG, který obsahuje PostScriptový kód namísto obrázku (takový soubor bude zpracován v Ghostscriptu, protože typ MIME rozpoznává obsahu a bez spoléhání se na rozšíření).
Zdroj: opennet.ru