Duas semanas depois problema crítico passado em Mais 4 vulnerabilidades semelhantes (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), que permitem ao criar um link para “.forceput” contornar o modo de isolamento “-dSAFER” . Ao processar documentos especialmente projetados, um invasor pode obter acesso ao conteúdo do sistema de arquivos e executar código arbitrário no sistema (por exemplo, adicionando comandos a ~/.bashrc ou ~/.profile). A correção está disponível como patches (, ). Você pode acompanhar a disponibilidade de atualizações de pacotes em distribuições nestas páginas: , , , , , , , .
Lembramos que as vulnerabilidades no Ghostscript representam um perigo maior, uma vez que este pacote é usado em muitos aplicativos populares para processamento de formatos PostScript e PDF. Por exemplo, Ghostscript é chamado durante a criação de miniaturas da área de trabalho, indexação de dados em segundo plano e conversão de imagens. Para um ataque bem-sucedido, em muitos casos basta simplesmente baixar o arquivo com o exploit ou navegar no diretório com ele no Nautilus. Vulnerabilidades no Ghostscript também podem ser exploradas através de processadores de imagem baseados nos pacotes ImageMagick e GraphicsMagick, passando-lhes um arquivo JPEG ou PNG contendo código PostScript em vez de uma imagem (tal arquivo será processado no Ghostscript, pois o tipo MIME é reconhecido pelo conteúdo e sem depender de extensão).
Fonte: opennet.ru