Pažeidžiamumų serija nesibaigia (, , , , , ) in , įrankių rinkinys, skirtas apdoroti, konvertuoti ir generuoti dokumentus PostScript ir PDF formatais. Kaip ir praeities pažeidžiamumas () leidžia apdorojant specialiai sukurtus dokumentus apeiti „-dSAFER“ atskyrimo režimą (manipuliuojant su „.buildfont1“) ir gauti prieigą prie failų sistemos turinio, kurį galima panaudoti organizuojant ataką vykdyti savavališką kodą. sistemoje (pavyzdžiui, pridedant komandas į ~ /.bashrc arba ~/.profile). Pataisymas pasiekiamas kaip . Galite sekti paketų naujinimų prieinamumą platinimuose šiuose puslapiuose: , , , , , , .
Prisiminkite, kad Ghostscript pažeidžiamumas kelia didesnę riziką, nes šis paketas naudojamas daugelyje populiarių programų, skirtų apdoroti PostScript ir PDF formatus. Pavyzdžiui, Ghostscript iškviečiamas kuriant darbalaukio miniatiūras, indeksuojant duomenis fone ir konvertuojant vaizdus. Kad ataka būtų sėkminga, daugeliu atvejų pakanka tiesiog atsisiųsti išnaudojimo failą arba naršyti su juo katalogą „Nautilus“. „Ghostscript“ pažeidžiamumas taip pat gali būti išnaudojamas naudojant vaizdo procesorius, pagrįstus „ImageMagick“ ir „GraphicsMagick“ paketais, perduodant jiems JPEG arba PNG failą, kuriame yra PostScript kodas, o ne vaizdas (toks failas bus apdorojamas „Ghostscript“, nes MIME tipą atpažįsta turinį ir nesiremiant plėtiniu).
Šaltinis: opennet.ru