Dva tedna po preteklo kritično vprašanje v Še 4 podobne ranljivosti (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817), ki omogočajo, da z ustvarjanjem povezave do ».forceput« obidejo izolacijski način »-dSAFER« . Pri obdelavi posebej oblikovanih dokumentov lahko napadalec pridobi dostop do vsebine datotečnega sistema in v sistemu izvede poljubno kodo (na primer z dodajanjem ukazov v ~/.bashrc ali ~/.profile). Popravek je na voljo kot popravki (, ). Razpoložljivost posodobitev paketov v distribucijah lahko spremljate na teh straneh: , , , , , , , .
Naj vas spomnimo, da ranljivosti v Ghostscriptu predstavljajo povečano nevarnost, saj se ta paket uporablja v številnih priljubljenih aplikacijah za obdelavo formatov PostScript in PDF. Ghostscript se na primer kliče med ustvarjanjem sličic namizja, indeksiranjem podatkov v ozadju in pretvorbo slik. Za uspešen napad je v mnogih primerih dovolj, da preprosto prenesete datoteko z exploitom ali z njo brskate po imeniku v Nautilusu. Ranljivosti v Ghostscriptu je mogoče izkoristiti tudi s slikovnimi procesorji, ki temeljijo na paketih ImageMagick in GraphicsMagick, tako da jim namesto slike posredujete datoteko JPEG ali PNG, ki vsebuje kodo PostScript (takšna datoteka bo obdelana v Ghostscriptu, saj tip MIME prepozna tip MIME vsebino in brez zanašanja na razširitev).
Vir: opennet.ru