XNUMX週間後 過去の重大な問題 さらに 4 つの同様の脆弱性 (CVE-2019-14811、CVE-2019-14812、CVE-2019-14813、CVE-2019-14817) があり、「.forceput」へのリンクを作成することで「-dSAFER」分離モードをバイパスできるようになります。 。 特別に設計されたドキュメントを処理する場合、攻撃者はファイル システムのコンテンツにアクセスし、システム上で任意のコードを実行する可能性があります (たとえば、~/.bashrc または ~/.profile にコマンドを追加することによって)。 修正はパッチとして入手可能です(, )。 次のページで、ディストリビューション内のパッケージ更新の可用性を追跡できます。 , , , , , , , .
Ghostscript の脆弱性は、PostScript および PDF 形式を処理するための多くの一般的なアプリケーションで使用されているため、リスクが増大することを思い出してください。 たとえば、Ghostscript は、デスクトップのサムネイルを作成するとき、バックグラウンドでデータのインデックスを作成するとき、および画像を変換するときに呼び出されます。 攻撃を成功させるには、多くの場合、単にエクスプロイト ファイルをダウンロードするか、Nautilus でエクスプロイト ファイルが含まれるディレクトリを参照するだけで十分です。 Ghostscript の脆弱性は、ImageMagick および GraphicsMagick パッケージに基づく画像プロセッサを通じて、画像の代わりに PostScript コードを含む JPEG または PNG ファイルを渡すことによって悪用される可能性もあります (MIME タイプは Ghostscript によって認識されるため、このようなファイルは Ghostscript で処理されます)。拡張子に依存せずにコンテンツを確認できます)。
出所: オープンネット.ru
