Du semajnojn poste pasinta kritika afero en 4 pli similaj vundeblecoj (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), kiuj ebligas kreante ligon al ".forceput" preteriri la "-dSAFER" izolan reĝimon . Dum prilaborado de speciale dizajnitaj dokumentoj, atakanto povas akiri aliron al la enhavo de la dosiersistemo kaj efektivigi arbitran kodon en la sistemo (ekzemple, aldonante komandojn al ~/.bashrc aŭ ~/.profile). La riparo disponeblas kiel flikaĵoj (, ). Vi povas spuri la haveblecon de pakaj ĝisdatigoj en distribuoj sur ĉi tiuj paĝoj: , , , , , , , .
Memoru, ke la vundeblecoj en Ghostscript prezentas pli grandan riskon, ĉar ĉi tiu pako estas uzata en multaj popularaj aplikoj por prilabori PostScript kaj PDF-formatojn. Ekzemple, Ghostscript estas nomita dum kreado de labortablaj bildetoj, dum indeksado de datumoj en la fono, kaj dum konverto de bildoj. Por sukcesa atako, en multaj kazoj, simple elŝuti la ekspluatdosieron aŭ foliumi la dosierujon kun ĝi en Nautilus sufiĉas. Vundeblecoj en Ghostscript ankaŭ povas esti ekspluatitaj per bildprocesoroj bazitaj sur la ImageMagick kaj GraphicsMagick-pakaĵoj pasante al ili JPEG aŭ PNG-dosieron kiu enhavas PostScript-kodon anstataŭe de bildo (tia dosiero estos prilaborita en Ghostscript, ĉar la MIME-tipo estas rekonita de la enhavo, kaj sen fidi je la etendaĵo).
fonto: opennet.ru