ٻن هفتن کان پوءِ ماضي ۾ نازڪ مسئلو 4 وڌيڪ ملندڙ جلندڙ ڪمزوريون (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817)، جيڪي ”-dSAFER“ آئسوليشن موڊ کي نظرانداز ڪرڻ لاءِ ”.forceput“ سان لنڪ ٺاهي اجازت ڏين ٿيون. . خاص طور تي ڊزائين ڪيل دستاويزن کي پروسيس ڪرڻ دوران، هڪ حملو ڪندڙ فائل سسٽم جي مواد تائين رسائي حاصل ڪري سگهي ٿو ۽ سسٽم تي صوابديدي ڪوڊ تي عمل ڪري سگهي ٿو (مثال طور، ~/.bashrc يا ~/. پروفائل ۾ حڪم شامل ڪندي). حل موجود آهي پيچ جي طور تي (, ). توھان انھن صفحن تي تقسيم ۾ پيڪيج جي تازه ڪاري جي دستيابي کي ٽريڪ ڪري سگھو ٿا: , , , , , , , .
اچو ته توهان کي ياد ڏياريون ته Ghostscript ۾ ڪمزوريون هڪ وڌندڙ خطرو پيدا ڪن ٿيون، ڇاڪاڻ ته هي پيڪيج پوسٽ اسڪرپٽ ۽ PDF فارميٽ جي پروسيسنگ لاءِ ڪيترن ئي مشهور ايپليڪيشنن ۾ استعمال ٿيندو آهي. مثال طور، Ghostscript سڏيو ويندو آهي ڊيسڪ ٽاپ ٿامبنيل ٺاھڻ، پس منظر جي ڊيٽا انڊيڪسنگ، ۽ تصوير جي تبديلي دوران. هڪ ڪامياب حملي لاء، ڪيترن ئي ڪيسن ۾ اهو ڪافي آهي ته صرف فائل کي ڊائون لوڊ ڪريو استحصال سان يا ڊاريڪٽري کي براؤز ڪريو ان سان Nautilus ۾. Ghostscript ۾ موجود ڪمزورين کي تصويري پروسيسرز جي ذريعي پڻ استعمال ڪري سگهجي ٿو جيڪا تصوير جي بدران تصوير جي بدران پوسٽ اسڪرپٽ ڪوڊ تي مشتمل JPEG يا PNG فائل کي منتقل ڪري ٿي (اهڙي فائل کي Ghostscript ۾ پروسيس ڪيو ويندو، ڇاڪاڻ ته MIME قسم جي سڃاڻپ ڪئي وئي آهي. مواد، ۽ توسيع تي ڀروسو ڪرڻ کان سواء).
جو ذريعو: opennet.ru