To uger efter tidligere kritisk problem i Yderligere 4 lignende sårbarheder (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), som tillader omgåelse af "-dSAFER" isolationstilstanden ved at oprette et link til ".forceput". Ved behandling af specialdesignede dokumenter kan en angriber få adgang til indholdet af filsystemet og opnå eksekvering af vilkårlig kode i systemet (for eksempel ved at tilføje kommandoer til ~/.bashrc eller ~/.profile). Rettelsen er tilgængelig som patches (, ). Du kan følge udseendet af pakkeopdateringer i distributioner på disse sider: , , , , , , , .
Husk, at sårbarhederne i Ghostscript udgør en øget risiko, da denne pakke bruges i mange populære applikationer til behandling af PostScript- og PDF-formater. For eksempel kaldes Ghostscript ved oprettelse af skrivebordsminiaturer, ved indeksering af data i baggrunden og ved konvertering af billeder. For et vellykket angreb er det i mange tilfælde nok at downloade udnyttelsesfilen eller gennemse mappen med den i Nautilus. Sårbarheder i Ghostscript kan også udnyttes gennem billedprocessorer baseret på ImageMagick- og GraphicsMagick-pakkerne ved at sende dem en JPEG- eller PNG-fil, der indeholder PostScript-kode i stedet for et billede (en sådan fil vil blive behandlet i Ghostscript, da MIME-typen genkendes af indholdet og uden at stole på udvidelsen).
Kilde: opennet.ru