دو ہفتے بعد میں ماضی کا اہم مسئلہ ملتے جلتے 4 مزید خطرات (CVE-2019-14811, CVE-2019-14812, CVE-2019-14813, CVE-2019-14817)، جو "-dSAFER" تنہائی کے موڈ کو نظرانداز کرنے کے لیے ".forceput" کا لنک بنا کر اجازت دیتے ہیں۔ . خاص طور پر تیار کردہ دستاویزات پر کارروائی کرتے وقت، حملہ آور فائل سسٹم کے مواد تک رسائی حاصل کر سکتا ہے اور سسٹم پر صوابدیدی کوڈ پر عمل درآمد کر سکتا ہے (مثال کے طور پر ~/.bashrc یا ~/.profile میں کمانڈز شامل کرکے)۔ فکس پیچ کے طور پر دستیاب ہے (, )۔ آپ ان صفحات پر تقسیم میں پیکیج اپ ڈیٹس کی دستیابی کو ٹریک کر سکتے ہیں: , , , , , , , .
آئیے ہم آپ کو یاد دلاتے ہیں کہ گھوسٹ اسکرپٹ میں خطرات بڑھتے ہوئے خطرے کا باعث بنتے ہیں، کیونکہ یہ پیکیج پوسٹ اسکرپٹ اور پی ڈی ایف فارمیٹس پر کارروائی کرنے کے لیے بہت سی مقبول ایپلی کیشنز میں استعمال ہوتا ہے۔ مثال کے طور پر، Ghostscript کو ڈیسک ٹاپ تھمب نیل بنانے، پس منظر کے ڈیٹا کی اشاریہ سازی، اور تصویر کی تبدیلی کے دوران کہا جاتا ہے۔ ایک کامیاب حملے کے لیے، بہت سے معاملات میں یہ کافی ہوتا ہے کہ صرف ایکسپلائٹ کے ساتھ فائل کو ڈاؤن لوڈ کریں یا ناٹیلس میں اس کے ساتھ ڈائریکٹری کو براؤز کریں۔ گوسٹ اسکرپٹ میں موجود کمزوریوں کو امیج میجک اور گرافکس میگک پیکجز پر مبنی امیج پروسیسرز کے ذریعے بھی استعمال کیا جا سکتا ہے جس میں تصویر کے بجائے پوسٹ اسکرپٹ کوڈ پر مشتمل JPEG یا PNG فائل کو پاس کیا جا سکتا ہے (ایسی فائل کو گوسٹ اسکرپٹ میں پروسیس کیا جائے گا، چونکہ MIME قسم کی شناخت ہوتی ہے۔ مواد، اور توسیع پر انحصار کیے بغیر)۔
ماخذ: opennet.ru