Vulnerabilidad Mozilla Firefox (CVE-2015-4495)
Red Hat Product Security ha tenido conocimiento de una vulnerabilidad de seguridad en el navegador web Firefox de Mozilla. En particular, de páginas que han sido creadas de forma malintencionada y que podrían leer los archivos locales. Esta vulnerabilidad se identifica como CVE-2015-4495 y ha sido valorada como de impacto Importante. Red Hat agradece al proyecto Mozilla por haber reportado este problema.
Información de fondo
Se encontró un fallo en Firefox de Mozilla, el cual le podría permitir a un atacante acceder a los archivos locales con los permisos del usuario que ejecute Firefox.
El fallo fue descubierto en el visor de archivos PDF Firefox de Mozilla (PDF.js). Un atacante podría crear una página web malintencionada para que cuando fuera vista por una víctima, pudiera robarle archivos arbitrarios ( incluidos los archivos /etc/passwd
y otros archivos confidenciales) del sistema que ejecute Firefox.
Este error es generado por un fallo en el visor de archivos PDF.js de Mozilla para desviar la Política del mismo origen y permitir que un JavaScript malintencionado robe archivos del sistema.
Impacto
Se tiene conocimiento de que este fallo ha sido explotado públicamente y que existe una vulnerabilidad que apunta especialmente a los sistemas Linux. Todos los productos de Red Hat que usan el navegador Firefox de Mozilla se ven afectados por este problema.
Nota: SELinux no mitiga este problema.
Recomendaciones de seguridad
Consulte la recomendación de seguridad que corrige este problema:
Producto | Recomedación |
---|---|
Red Hat Enterprise Linux 5 | RHSA-2015:1581-1 |
Red Hat Enterprise Linux 6 | RHSA-2015:1581-1 |
Red Hat Enterprise Linux 7 | RHSA-2015:1581-1 |
Solución
Para eliminar la posibilidad de una vulnerabilidad, instale los paquetes actualizados de firefox
que están disponibles a través de las recomendaciones que aparecen en la tabla de arriba y luego reinicie la aplicación.
Para instalar las actualizaciones, use el gestor de paquetes yum así:
yum update
Para actualizar únicamente el paquete firefox
y sus dependencias use: :
yum update firefox
Mitigación
Este fallo requiere que PDF.js esté habilitado en Firefox. PDF.js puede inhabilitarse así:
- Escriba
about:config
en la barra de direcciones Firefox - Busque la entrada
pdfjs.disabled
- Establezca la entrada
pdfjs.disabled
comoTrue
Referencias
Mozilla advisory 2015-78
Mozilla Security Blog on this topic
Comments