Tveimur vikum á eftir fyrri gagnrýni mál í 4 svipaðir veikleikar í viðbót (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), sem gera kleift með því að búa til tengil á „.forceput“ að komast framhjá „-dSAFER“ einangrunarhamnum . Þegar unnið er með sérhönnuð skjöl getur árásarmaður fengið aðgang að innihaldi skráarkerfisins og framkvæmt handahófskenndan kóða á kerfinu (til dæmis með því að bæta skipunum við ~/.bashrc eða ~/.profile). Lagfæringin er fáanleg sem plástrar (, ). Þú getur fylgst með framboði á pakkauppfærslum í dreifingum á þessum síðum: , , , , , , , .
Við skulum minna þig á að varnarleysi í Ghostscript skapar aukna hættu, þar sem þessi pakki er notaður í mörgum vinsælum forritum til að vinna úr PostScript og PDF sniðum. Til dæmis er Ghostscript kallað við gerð smámynda á skjáborði, flokkun bakgrunnsgagna og myndbreytingu. Fyrir árangursríka árás er í mörgum tilfellum nóg að hlaða niður skránni með hagnýtingu eða fletta í möppunni með henni í Nautilus. Einnig er hægt að nýta veikleika í Ghostscript í gegnum myndvinnslur sem byggjast á ImageMagick og GraphicsMagick pökkunum með því að senda þeim JPEG eða PNG skrá sem inniheldur PostScript kóða í stað myndar (slík skrá verður unnin í Ghostscript, þar sem MIME tegundin er þekkt af innihald og án þess að treysta á framlengingu).
Heimild: opennet.ru