Comments 5
Не хватает опции: уязвим и пока не исправлен. Спасибо!
+5
К сожалению, не смотря на публикацию информации об уязвимости и исправление ошибки, в обновлениях дистрибутивов может не быть исправленной версии — нужна та что свежее 28 августа.
Судя по обсуждению, баги все еще есть, сообщение размещено 11 часов назад.
bugs.chromium.org/p/project-zero/issues/detail?id=1640
Last night Artifex committed this fix for 699714:
I didn't think that fix was complete, and found a trivial variant that still works, which I filed as bug 699718.
$ ./gs -dSAFER bug699718.txt
GPL Ghostscript GIT PRERELEASE 9.25 (2018-09-03)
Copyright © 2018 Artifex Software, Inc. All rights reserved.
This software comes with NO WARRANTY: see the file PUBLIC for details.
uid=1000(taviso) gid=1000(primarygroup)
Т.е. все равно можно творить безобразия. Проверял сервисы конвертирования картинкок на уязвимости (чтобы написать владельцам), порадовал конвертер из heic — heic2jpeg.com, если ему подсунуть PS файл то выдает картинку с просьбой его не хакать, а лучше оформить донат :)
+2
Sign up to leave a comment.
Articles
Change theme settings
Удалённое выполнение кода через загрузку картинок на вашем сервере или локальном компьютере в ghostscript/imagick