【威胁通告】Ghostscript 多个 -dSAFER沙箱绕过漏洞
当地时间8月28日,有报告公布了多个Ghostscript -dSAFER沙箱绕过漏洞(CVE-2019-14811、CVE-2019-14812、CVE-2019-14813、CVE-2019-14817)。
CVE-2019-14811:通过暴露在 .pdf_hook_DSC_Creator 中的.forceput 实现安全模式绕过。
CVE-2019-14812:通过暴露在 setuserparams 中的.forceput 实现安全模式绕过。
CVE-2019-14813:通过暴露在 setsystemparams 中的.forceput 实现安全模式绕过。
CVE-2019-14817:通过暴露在.pdfexectoken和其他程序中的.forceput 实现安全模式绕过。(只有.pdfexectoken程序是被证明易受攻击的,其他只是存在潜在风险)。