A serie de vulnerabilidades non para (, , , , , ) en , un conxunto de ferramentas para procesar, converter e xerar documentos en formatos PostScript e PDF. Como vulnerabilidades pasadas () permite, ao procesar documentos especialmente deseñados, evitar o modo de illamento “-dSAFER” (mediante manipulacións con “.buildfont1”) e acceder ao contido do sistema de ficheiros, que se pode utilizar para organizar un ataque para executar código arbitrario. no sistema (por exemplo, engadindo comandos a ~ /.bashrc ou ~/.profile). A corrección está dispoñible como . Podes seguir a dispoñibilidade das actualizacións de paquetes nas distribucións nestas páxinas: , , , , , , .
Recordemos que as vulnerabilidades de Ghostscript supoñen un maior risco, xa que este paquete utilízase en moitas aplicacións populares para procesar formatos PostScript e PDF. Por exemplo, Ghostscript chámase ao crear miniaturas do escritorio, ao indexar datos en segundo plano e ao converter imaxes. Para un ataque exitoso, en moitos casos, basta con descargar o ficheiro exploit ou navegar polo directorio con el en Nautilus. As vulnerabilidades en Ghostscript tamén se poden explotar a través de procesadores de imaxe baseados nos paquetes ImageMagick e GraphicsMagick pasándolles un ficheiro JPEG ou PNG que conteña código PostScript en lugar dunha imaxe (este ficheiro procesarase en Ghostscript, xa que o tipo MIME é recoñecido por o contido, e sen depender da extensión).
Fonte: opennet.ru