Dos semanas después problema crítico pasado en 4 vulnerabilidades más similares (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), que permiten crear un enlace a “.forceput” para evitar el modo de aislamiento “-dSAFER” . Al procesar documentos especialmente diseñados, un atacante puede obtener acceso al contenido del sistema de archivos y ejecutar código arbitrario en el sistema (por ejemplo, agregando comandos a ~/.bashrc o ~/.profile). La solución está disponible como parches (, ). Puede realizar un seguimiento de la disponibilidad de actualizaciones de paquetes en distribuciones en estas páginas: , , , , , , , .
Recuerde que las vulnerabilidades en Ghostscript representan un mayor riesgo, ya que este paquete se usa en muchas aplicaciones populares para procesar formatos PostScript y PDF. Por ejemplo, se llama a Ghostscript al crear miniaturas de escritorio, al indexar datos en segundo plano y al convertir imágenes. Para un ataque exitoso, en muchos casos, basta con descargar el archivo de explotación o explorar el directorio con él en Nautilus. Las vulnerabilidades en Ghostscript también se pueden explotar a través de procesadores de imágenes basados en los paquetes ImageMagick y GraphicsMagick pasándoles un archivo JPEG o PNG que contenga código PostScript en lugar de una imagen (dicho archivo se procesará en Ghostscript, ya que el tipo MIME es reconocido por el contenido, y sin depender de la extensión).
Fuente: opennet.ru