Po dvoch týždňoch minulý kritický problém v 4 ďalšie podobné chyby zabezpečenia (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), ktoré umožňujú vytvorením prepojenia na „.forceput“ obísť režim izolácie „-dSAFER“ . Pri spracovaní špeciálne navrhnutých dokumentov môže útočník získať prístup k obsahu súborového systému a spustiť ľubovoľný kód v systéme (napríklad pridaním príkazov do ~/.bashrc alebo ~/.profile). Oprava je dostupná ako záplaty (, ). Dostupnosť aktualizácií balíkov v distribúciách môžete sledovať na týchto stránkach: , , , , , , , .
Pripomeňme, že zraniteľné miesta v Ghostscripte predstavujú zvýšené nebezpečenstvo, keďže tento balík sa používa v mnohých populárnych aplikáciách na spracovanie formátov PostScript a PDF. Ghostscript sa napríklad volá počas vytvárania miniatúr na pracovnej ploche, indexovania údajov na pozadí a konverzie obrázkov. Pre úspešný útok v mnohých prípadoch stačí jednoducho stiahnuť súbor s exploitom alebo si s ním prelistovať adresár v Nautiluse. Zraniteľnosť v Ghostscript sa dá zneužiť aj prostredníctvom obrazových procesorov založených na balíkoch ImageMagick a GraphicsMagick tak, že im namiesto obrázka odošlete súbor JPEG alebo PNG obsahujúci PostScriptový kód (takýto súbor bude spracovaný v Ghostscripte, pretože typ MIME rozpoznáva obsahu a bez spoliehania sa na rozšírenie).
Zdroj: opennet.ru