脆弱性の続出が止まらない(, , , , , )で 、PostScript および PDF ドキュメントを処理、変換、生成するためのツールのセット。 過去の脆弱性と同様に () 特別に設計されたドキュメントを処理するときに、(「.buildfont1」による操作を通じて) 「-dSAFER」分離モードをバイパスし、ファイル システムのコンテンツにアクセスできるようにします。これは、任意のコードを実行する攻撃を組織するために使用される可能性があります。システム内で (たとえば、~/.bashrc または ~/.profile にコマンドを追加することによって)。 修正プログラムは次のように利用可能です 。 次のページで、ディストリビューション内のパッケージ更新の様子を確認できます。 , , , , , , .
Ghostscript の脆弱性は、PostScript および PDF 形式を処理するための多くの一般的なアプリケーションで使用されているため、リスクが増大することを思い出してください。 たとえば、Ghostscript は、デスクトップのサムネイルを作成するとき、バックグラウンドでデータのインデックスを作成するとき、および画像を変換するときに呼び出されます。 攻撃を成功させるには、多くの場合、単にエクスプロイト ファイルをダウンロードするか、Nautilus でエクスプロイト ファイルが含まれるディレクトリを参照するだけで十分です。 Ghostscript の脆弱性は、ImageMagick および GraphicsMagick パッケージに基づく画像プロセッサを通じて、画像の代わりに PostScript コードを含む JPEG または PNG ファイルを渡すことによって悪用される可能性もあります (MIME タイプは Ghostscript によって認識されるため、このようなファイルは Ghostscript で処理されます)。拡張子に依存せずにコンテンツを確認できます)。
出所: オープンネット.ru