Kahe nädala pärast möödunud kriitiline probleem Veel 4 sarnast turvaauku (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), mis võimaldavad ".forceput" lingi loomisel "-dSAFER" isolatsioonirežiimist mööda minna . Spetsiaalselt loodud dokumentide töötlemisel saab ründaja pääseda ligi failisüsteemi sisule ja käivitada süsteemis suvalise koodi (näiteks lisades käske ~/.bashrc või ~/.profile). Parandus on saadaval plaastritena (, ). Saate jälgida paketivärskenduste saadavust distributsioonides järgmistel lehtedel: , , , , , , , .
Tuletame meelde, et Ghostscripti haavatavused kujutavad endast suuremat ohtu, kuna seda paketti kasutatakse paljudes populaarsetes rakendustes PostScripti ja PDF-vormingute töötlemiseks. Näiteks Ghostscript kutsutakse välja töölaua pisipiltide loomisel, taustaandmete indekseerimisel ja piltide teisendamisel. Edukaks rünnakuks piisab paljudel juhtudel lihtsalt faili koos exploitiga allalaadimisest või Nautiluses kataloogi sirvimisest. Ghostscripti haavatavusi saab ära kasutada ka ImageMagicki ja GraphicsMagicki pakettidel põhinevate pildiprotsessorite kaudu, edastades neile pildi asemel PostScript-koodi sisaldava JPEG- või PNG-faili (sellist faili töödeldakse Ghostscriptis, kuna MIME tüüp tunneb ära sisu ja ilma laiendusele tuginemata).
Allikas: opennet.ru