Rong minggu sawise masalah kritis kepungkur ing 4 kerentanan liyane sing padha (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), sing ngidini nggawe link menyang ".forceput" kanggo ngliwati mode isolasi "-dSAFER" . Nalika ngolah dokumen sing dirancang khusus, panyerang bisa entuk akses menyang isi sistem file lan nglakokake kode sewenang-wenang ing sistem kasebut (contone, kanthi nambahake printah menyang ~/.bashrc utawa ~/.profile). Perbaikan kasedhiya minangka patch (, ). Sampeyan bisa nglacak kasedhiyan nganyari paket ing distribusi ing kaca iki: , , , , , , , .
Ayo kita ngelingake yen kerentanan ing Ghostscript nambah bebaya, amarga paket iki digunakake ing akeh aplikasi populer kanggo ngolah format PostScript lan PDF. Contone, Ghostscript diarani nalika nggawe gambar cilik desktop, indeksasi data latar mburi, lan konversi gambar. Kanggo serangan sing sukses, ing pirang-pirang kasus, cukup download file kanthi eksploitasi utawa browsing direktori kasebut ing Nautilus. Kerentanan ing Ghostscript uga bisa dimanfaatake liwat pemroses gambar adhedhasar paket ImageMagick lan GraphicsMagick kanthi ngirim file JPEG utawa PNG sing ngemot kode PostScript tinimbang gambar (file kasebut bakal diproses ing Ghostscript, amarga jinis MIME diakoni dening isi, lan tanpa gumantung ing extension).
Source: opennet.ru