Deux semaines après
Rappelons que les vulnérabilités de Ghostscript présentent un danger accru, puisque ce package est utilisé dans de nombreuses applications populaires pour le traitement des formats PostScript et PDF. Par exemple, Ghostscript est appelé lors de la création de vignettes sur le bureau, de l'indexation des données d'arrière-plan et de la conversion d'images. Pour une attaque réussie, dans de nombreux cas, il suffit simplement de télécharger le fichier contenant l'exploit ou de parcourir le répertoire contenant celui-ci dans Nautilus. Les vulnérabilités de Ghostscript peuvent également être exploitées via des processeurs d'images basés sur les packages ImageMagick et GraphicsMagick en leur transmettant un fichier JPEG ou PNG contenant du code PostScript au lieu d'une image (un tel fichier sera traité dans Ghostscript, puisque le type MIME est reconnu par le contenu, et sans compter sur l’extension).
Source: opennet.ru