Zaifliklar qatori to'xtamaydi (, , , , , ) , PostScript va PDF formatlarida hujjatlarni qayta ishlash, o'zgartirish va yaratish uchun vositalar to'plami. O'tmishdagi zaifliklar kabi () maxsus ishlab chiqilgan hujjatlarni qayta ishlashda "-dSAFER" izolyatsiyalash rejimini chetlab o'tishga imkon beradi (".buildfont1" bilan manipulyatsiyalar orqali) va o'zboshimchalik bilan kodni bajarish uchun hujumni tashkil qilish uchun ishlatilishi mumkin bo'lgan fayl tizimi tarkibiga kirishga ruxsat beradi. tizimda (masalan, ~ /.bashrc yoki ~/.profile buyruqlar qo'shish orqali). Tuzatish sifatida mavjud . Siz ushbu sahifalarda tarqatishlarda paket yangilanishlari mavjudligini kuzatishingiz mumkin: , , , , , , .
Eslatib o'tamiz, Ghostscript-dagi zaifliklar katta xavf tug'diradi, chunki bu paket PostScript va PDF formatlarini qayta ishlash uchun ko'plab mashhur ilovalarda qo'llaniladi. Misol uchun, Ghostscript ish stoli eskizini yaratish, fon ma'lumotlarini indekslash va tasvirni o'zgartirish paytida chaqiriladi. Muvaffaqiyatli hujum uchun ko'p hollarda faylni ekspluatatsiya bilan yuklab olish yoki u bilan Nautilus-da katalogni ko'rib chiqish kifoya. Ghostscript-dagi zaifliklardan ImageMagick va GraphicsMagick paketlari asosidagi tasvir protsessorlari orqali ularga tasvir o‘rniga PostScript kodini o‘z ichiga olgan JPEG yoki PNG faylini yuborish orqali ham foydalanish mumkin (bunday fayl Ghostscript-da qayta ishlanadi, chunki MIME turi foydalanuvchi tomonidan tan olinadi. kontent va kengaytmaga tayanmasdan).
Manba: opennet.ru