OpenForum RSS: В Ghostscript 9.26 устранена очередная порция уязвимостей https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html Представлен (https://www.ghostscript.com/doc/9.26/News.htm) релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.26 (https://www.ghostscript.com/), в котором устранено несколько уязвимостей, которые позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов.<br><br><br><br>- CVE-2018-17961 (https://security-tracker.debian.org/tracker/CVE-2018-17961) - уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1682&desc=2) вызвана неполным устранением ранее найденной уязвимости CVE-2018-17183 и позволяет через создание обработчика исключения организовать выполнение кода вне sandbox-окружения.<br>- CVE-2018-18073 (https://security-tracker.debian.org/tracker/CVE-2018-18073) - уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1690) позволяет организовать выполнение оператора ".forceput" через манипуляции с переданным в обработчик исключения доступом к исполн В Ghostscript 9.26 устранена очередная порция уязвимостей (Онаним) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#19 Sat, 24 Nov 2018 04:44:44 GMT &gt;&gt; Всегда после установки любой ОС первым делом отключал показ миниатюр в файловом менеджере <br>&gt; Приводило ли это к тому, что файловый менеджер прекращал создавать эти миниатюры? <br>&gt; Или только показ их отключался?<br><br>Приводило - прекращал. Хотя конечно не исключено, что могут быть файловые менеджеры, которые не прекращают.<br> В Ghostscript 9.26 устранена очередная порция уязвимостей (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#18 Fri, 23 Nov 2018 12:10:02 GMT Всегда создаю путой файл с аттрибутом "только чтение":<br><br>$ rm -rf ~/.config/thumbnails && touch ~/.config/thumbnails && chmod 400 ~/.config/thumbnails<br> В Ghostscript 9.26 устранена очередная порция уязвимостей (Аноним) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#17 Fri, 23 Nov 2018 11:53:58 GMT О, и я обратил на это внимание.<br> В Ghostscript 9.26 устранена очередная порция уязвимостей (Ordu) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#16 Fri, 23 Nov 2018 11:48:39 GMT &gt; Всегда после установки любой ОС первым делом отключал показ миниатюр в файловом менеджере<br><br>Приводило ли это к тому, что файловый менеджер прекращал создавать эти миниатюры? Или только показ их отключался?<br> В Ghostscript 9.26 устранена очередная порция уязвимостей (Онаним) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#15 Thu, 22 Nov 2018 17:20:19 GMT &gt; Например, Ghostscript вызывается в процессе создания миниатюр на рабочем столе, при фоновой индексации данных и при преобразовании изображений. Для успешной атаки во многих случаях достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus.<br><br>Всегда после установки любой ОС первым делом отключал показ миниатюр в файловом менеджере, возможность размещать что бы то ни было кроме окон на рабочем столе и индексацию данных ибо не нужно и только лишняя нагрузка на комп. Похоже не зря.<br> В Ghostscript 9.26 устранена очередная порция уязвимостей (llolik) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#14 Thu, 22 Nov 2018 13:48:53 GMT &gt; обмани кондуктора - купи билет и сиди дома.<br><br>Не, ну если человеку хочется :)<br> В Ghostscript 9.26 устранена очередная порция уязвимостей (llolik) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#13 Thu, 22 Nov 2018 13:39:57 GMT &gt; полагаю, разработчиков там и не держали никогда<br><br>Ну разработчики там, вроде есть, mupdf (https://www.mupdf.com/) довольно бодренько пилят (git http://git.ghostscript.com/?p=mupdf.git;a=shortlog). Довольно прикольная либа ИМХО.<br> В Ghostscript 9.26 устранена очередная порция уязвимостей (пох) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#12 Thu, 22 Nov 2018 12:53:36 GMT обмани кондуктора - купи билет и сиди дома.<br><br> В Ghostscript 9.26 устранена очередная порция уязвимостей (пох) https://ssl.opennet.dev/openforum/vsluhforumID3/115872.html#11 Thu, 22 Nov 2018 12:52:21 GMT они оба - aladdin ghostscript. Коммерческая версия отличалась наличием закрытых принтерных драйверов, под какие-то давным-давно рассыпавшиеся из-за отсутствия запчастей древние не-ps-не-hp-принтеры, и когда у последнего полетел ролик - исходники оставшегося кода смержили в общую кучу - уже сильно поболее десятка лет назад, а контора обанкротилась.<br><br>Остатки купила та странная лавочка, которой посейчас и принадлежит ghostscript.com, но, по-моему, ничем кроме бесконечного меняния лицензии она не отличилась, полагаю, разработчиков там и не держали никогда - наоборот, их бизнес-идеей является предоставление тебе за денежки права НЕ открывать исходники _твоих_ изменений - если они у тебя есть ;-) А для этого нужны не кодеры, а адвокаты.<br><br><br><br>