Güvenlik açıkları serisi durmuyor (, , , , , ) içinde PostScript ve PDF formatlarındaki belgeleri işlemek, dönüştürmek ve oluşturmak için kullanılan bir dizi araç. Geçmişteki güvenlik açıkları gibi () özel olarak tasarlanmış belgeleri işlerken "-dSAFER" izolasyon modunu atlamaya (".buildfont1" ile yapılan manipülasyonlar yoluyla) ve isteğe bağlı kod yürütmek üzere bir saldırı düzenlemek için kullanılabilen dosya sisteminin içeriğine erişim sağlamaya olanak tanır. sistemde (örneğin, ~ /.bashrc veya ~/.profile komutlarını ekleyerek). Düzeltme şu şekilde mevcuttur: . Paket güncellemelerinin dağıtımlardaki kullanılabilirliğini şu sayfalardan takip edebilirsiniz: , , , , , , .
Bu paket PostScript ve PDF formatlarını işlemek için birçok popüler uygulamada kullanıldığından Ghostscript'teki güvenlik açıklarının daha yüksek bir risk oluşturduğunu unutmayın. Örneğin, masaüstü küçük resimleri oluştururken, arka planda verileri dizine eklerken ve görüntüleri dönüştürürken Ghostscript çağrılır. Başarılı bir saldırı için çoğu durumda, istismar dosyasını indirmek veya Nautilus'ta bu dosyayla dizine göz atmak yeterlidir. Ghostscript'teki güvenlik açıklarından, ImageMagick ve GraphicsMagick paketlerini temel alan görüntü işlemcileri aracılığıyla, onlara görüntü yerine PostScript kodu içeren bir JPEG veya PNG dosyası iletilerek de yararlanılabilir (böyle bir dosya, MIME türü tarafından tanındığından Ghostscript'te işlenecektir). içeriğe ve uzantıya bağlı kalmadan).
Kaynak: opennet.ru