Dva tjedna poslije prošlo kritično pitanje u Još 4 slične ranjivosti (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), koje omogućuju stvaranjem veze na “.forceput” zaobilaženje načina izolacije “-dSAFER” . Prilikom obrade posebno dizajniranih dokumenata, napadač može dobiti pristup sadržaju datotečnog sustava i izvršiti proizvoljan kod na sustavu (na primjer, dodavanjem naredbi u ~/.bashrc ili ~/.profile). Popravak je dostupan kao zakrpe (, ). Možete pratiti dostupnost ažuriranja paketa u distribucijama na ovim stranicama: , , , , , , , .
Podsjetimo se da ranjivosti u Ghostscriptu predstavljaju povećani rizik, jer se ovaj paket koristi u mnogim popularnim aplikacijama za obradu PostScript i PDF formata. Na primjer, Ghostscript se poziva prilikom stvaranja minijatura radne površine, prilikom indeksiranja podataka u pozadini i prilikom pretvaranja slika. Za uspješan napad, u mnogim slučajevima, dovoljno je jednostavno preuzimanje exploit datoteke ili pregledavanje direktorija s njom u Nautilusu. Ranjivosti u Ghostscriptu također se mogu iskoristiti putem slikovnih procesora koji se temelje na paketima ImageMagick i GraphicsMagick prosljeđivanjem JPEG ili PNG datoteke koja sadrži PostScript kod umjesto slike (takva datoteka će biti obrađena u Ghostscriptu, jer se tip MIME prepoznaje po sadržaju, a ne oslanja se na ekstenziju).
Izvor: opennet.ru