Két hét múlva múltbeli kritikus probléma További 4 hasonló sebezhetőség (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), amelyek lehetővé teszik a „.forceput” hivatkozás létrehozásával a „-dSAFER” elkülönítési mód megkerülését . A speciálisan kialakított dokumentumok feldolgozásakor a támadó hozzáférhet a fájlrendszer tartalmához, és tetszőleges kódot futtathat a rendszeren (például parancsok hozzáadásával a ~/.bashrc vagy ~/.profile fájlokhoz). A javítás javításként érhető el (, ). Az alábbi oldalakon követheti nyomon a csomagfrissítések elérhetőségét a disztribúciókban: , , , , , , , .
Emlékezzünk vissza, hogy a Ghostscript biztonsági rései fokozott kockázatot jelentenek, mivel ezt a csomagot számos népszerű alkalmazás használja PostScript és PDF formátumok feldolgozására. Például a Ghostscript meghívásra kerül az asztali miniatűrök létrehozásakor, az adatok háttérben történő indexelésekor és képek konvertálásakor. A sikeres támadáshoz sok esetben elég az exploit fájl letöltése vagy a könyvtár böngészése vele a Nautilusban. A Ghostscript sérülékenységei az ImageMagick és GraphicsMagick csomagokon alapuló képfeldolgozókon keresztül is kihasználhatók, ha kép helyett egy PostScript kódot tartalmazó JPEG vagy PNG fájlt adnak át nekik (az ilyen fájl feldolgozása Ghostscriptben történik, mivel a MIME típust felismeri a tartalom és a kiterjesztés nélkül).
Forrás: opennet.ru