مجموعه ای از آسیب پذیری ها متوقف نمی شود (, , , , , ) در ، مجموعه ای از ابزارها برای پردازش، تبدیل و تولید اسناد در فرمت های PostScript و PDF. مانند آسیب پذیری های گذشته () اجازه می دهد، هنگام پردازش اسناد طراحی شده خاص، از حالت جداسازی "-dSAFER" (از طریق دستکاری با ".buildfont1") عبور کرده و به محتویات سیستم فایل دسترسی پیدا کنید، که می تواند برای سازماندهی یک حمله برای اجرای کد دلخواه استفاده شود. در سیستم (به عنوان مثال، با افزودن دستورات به ~ /.bashrc یا ~/.profile). تعمیر به صورت موجود است . در این صفحات میتوانید دسترسی بهروزرسانیهای بسته را در توزیعها پیگیری کنید: , , , , , , .
به شما یادآوری می کنیم که آسیب پذیری ها در Ghostscript خطر بیشتری را ایجاد می کنند، زیرا این بسته در بسیاری از برنامه های محبوب برای پردازش فرمت های PostScript و PDF استفاده می شود. به عنوان مثال، Ghostscript در هنگام ایجاد تصاویر کوچک دسکتاپ، نمایه سازی داده های پس زمینه و تبدیل تصویر فراخوانی می شود. برای یک حمله موفقیت آمیز، در بسیاری از موارد کافی است به سادگی فایل را با اکسپلویت دانلود کنید یا فهرستی را با آن در Nautilus مرور کنید. آسیبپذیریها در Ghostscript همچنین میتوانند از طریق پردازشگرهای تصویر مبتنی بر بستههای ImageMagick و GraphicsMagick با ارسال یک فایل JPEG یا PNG حاوی کد PostScript به جای تصویر مورد سوء استفاده قرار گیرند (چنین فایلی در Ghostscript پردازش میشود، زیرا نوع MIME توسط محتوا، و بدون اتکا به پسوند).
منبع: opennet.ru