خطرن جو سلسلو بند نٿو ٿئي (, , , , , ) ۾ ، پوسٽ اسڪرپٽ ۽ PDF فارميٽ ۾ دستاويزن کي پروسيسنگ، تبديل ڪرڻ ۽ پيدا ڪرڻ لاءِ اوزارن جو هڪ سيٽ. ماضي جي ڪمزورين وانگر () اجازت ڏئي ٿو، خاص طور تي ڊزائين ڪيل دستاويزن کي پروسيس ڪرڻ دوران، "-dSAFER" جي علحدگي واري موڊ کي (".buildfont1" سان ٺهڪندڙ طريقي سان) ۽ فائل سسٽم جي مواد تائين رسائي حاصل ڪرڻ جي اجازت ڏئي ٿي، جيڪو پاڻمرادو ڪوڊ تي عمل ڪرڻ لاء حملي کي منظم ڪرڻ لاء استعمال ڪري سگهجي ٿو. سسٽم ۾ (مثال طور، ~ /.bashrc يا ~/. پروفائل ۾ حڪم شامل ڪندي). حل موجود آهي جيئن . توھان انھن صفحن تي تقسيم ۾ پيڪيج اپڊيٽ جي دستيابي کي ٽريڪ ڪري سگھو ٿا: , , , , , , .
اچو ته توهان کي ياد ڏياريون ته Ghostscript ۾ ڪمزوريون هڪ وڌندڙ خطرو پيدا ڪن ٿيون، ڇاڪاڻ ته هي پيڪيج پوسٽ اسڪرپٽ ۽ PDF فارميٽ جي پروسيسنگ لاءِ ڪيترن ئي مشهور ايپليڪيشنن ۾ استعمال ٿيندو آهي. مثال طور، Ghostscript سڏيو ويندو آهي ڊيسڪ ٽاپ ٿامبنيل ٺاھڻ، پس منظر جي ڊيٽا انڊيڪسنگ، ۽ تصوير جي تبديلي دوران. هڪ ڪامياب حملي لاء، ڪيترن ئي ڪيسن ۾ اهو ڪافي آهي ته صرف فائل کي ڊائون لوڊ ڪريو استحصال سان يا ڊاريڪٽري کي براؤز ڪريو ان سان Nautilus ۾. Ghostscript ۾ موجود ڪمزورين کي تصويري پروسيسرز جي ذريعي پڻ استعمال ڪري سگهجي ٿو جيڪا تصوير جي بدران تصوير جي بدران پوسٽ اسڪرپٽ ڪوڊ تي مشتمل JPEG يا PNG فائل کي منتقل ڪري ٿي (اهڙي فائل کي Ghostscript ۾ پروسيس ڪيو ويندو، ڇاڪاڻ ته MIME قسم جي سڃاڻپ ڪئي وئي آهي. مواد، ۽ توسيع تي ڀروسو ڪرڻ کان سواء).
جو ذريعو: opennet.ru