Dua minggu ti harita masalah kritis kaliwat dina Opat deui kerentanan sarupa (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817) ngidinan bypassing mode isolasi -dSAFER ku nyieun tumbu ka ".forceput." Nalika ngolah dokumén anu didamel khusus, panyerang tiasa nampi aksés kana eusi sistem file sareng ngalaksanakeun kode anu sawenang dina sistem (contona, ku cara nambihan paréntah ka ~/.bashrc atanapi ~/.profile). Perbaikan sayogi dina bentuk patch (, ). Anjeun tiasa ngalacak kasadiaan apdet pakét dina distribusi dina halaman ieu: , , , , , , , .
Émut yén kerentanan dina Ghostscript nyababkeun résiko ningkat, sabab pakét ieu dianggo dina seueur aplikasi populér pikeun ngolah format PostScript sareng PDF. Salaku conto, Ghostscript disebut nalika nyiptakeun gambar leutik desktop, nalika ngindeks data di latar tukang, sareng nalika ngarobih gambar. Pikeun serangan anu suksés, dina seueur kasus, ngan saukur ngunduh file eksploitasi atanapi ngotéktak diréktori sareng éta di Nautilus cekap. Kerentanan dina Ghostscript ogé tiasa dimanfaatkeun ngaliwatan prosesor gambar dumasar kana bungkusan ImageMagick sareng GraphicsMagick ku cara ngirimkeun file JPEG atanapi PNG anu ngandung kode PostScript tibatan gambar (file sapertos kitu bakal diolah dina Ghostscript, sabab jinis MIME diakui ku eusi, sarta tanpa ngandelkeun extension).
sumber: opennet.ru
