Dva týdny poté minulý kritický problém v 4 další podobné chyby zabezpečení (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), které umožňují vytvořením odkazu na „.forceput“ obejít režim izolace „-dSAFER“ . Při zpracování speciálně navržených dokumentů může útočník získat přístup k obsahu systému souborů a spustit v systému libovolný kód (například přidáním příkazů do ~/.bashrc nebo ~/.profile). Oprava je k dispozici jako opravy (, ). Dostupnost aktualizací balíčků v distribucích můžete sledovat na těchto stránkách: , , , , , , , .
Připomeňme, že zranitelnosti v Ghostscriptu představují zvýšené riziko, protože tento balíček se používá v mnoha oblíbených aplikacích pro zpracování formátů PostScript a PDF. Ghostscript je například volán při vytváření miniatur na ploše, při indexování dat na pozadí a při převodu obrázků. Pro úspěšný útok stačí v mnoha případech pouhé stažení exploit souboru nebo procházení adresáře s ním v Nautilu. Zranitelnosti v Ghostscriptu lze také zneužít prostřednictvím obrazových procesorů založených na balíčcích ImageMagick a GraphicsMagick tak, že jim předáte soubor JPEG nebo PNG, který obsahuje PostScriptový kód namísto obrázku (takový soubor bude zpracován v Ghostscriptu, protože typ MIME rozpoznává obsahu a bez spoléhání se na rozšíření).
Zdroj: opennet.ru