Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Vulnerabilidad Mozilla Firefox (CVE-2015-4495)

Red Hat Product Security ha tenido conocimiento de una vulnerabilidad de seguridad en el navegador web Firefox de Mozilla. En particular, de páginas que han sido creadas de forma malintencionada y que podrían leer los archivos locales. Esta vulnerabilidad se identifica como CVE-2015-4495 y ha sido valorada como de impacto Importante. Red Hat agradece al proyecto Mozilla por haber reportado este problema.

Información de fondo

Se encontró un fallo en Firefox de Mozilla, el cual le podría permitir a un atacante acceder a los archivos locales con los permisos del usuario que ejecute Firefox.

El fallo fue descubierto en el visor de archivos PDF Firefox de Mozilla (PDF.js). Un atacante podría crear una página web malintencionada para que cuando fuera vista por una víctima, pudiera robarle archivos arbitrarios ( incluidos los archivos /etc/passwd y otros archivos confidenciales) del sistema que ejecute Firefox.

Este error es generado por un fallo en el visor de archivos PDF.js de Mozilla para desviar la Política del mismo origen y permitir que un JavaScript malintencionado robe archivos del sistema.

Impacto

Se tiene conocimiento de que este fallo ha sido explotado públicamente y que existe una vulnerabilidad que apunta especialmente a los sistemas Linux. Todos los productos de Red Hat que usan el navegador Firefox de Mozilla se ven afectados por este problema.

Nota: SELinux no mitiga este problema.

Recomendaciones de seguridad

Consulte la recomendación de seguridad que corrige este problema:

Producto Recomedación
Red Hat Enterprise Linux 5 RHSA-2015:1581-1
Red Hat Enterprise Linux 6 RHSA-2015:1581-1
Red Hat Enterprise Linux 7 RHSA-2015:1581-1

Solución

Para eliminar la posibilidad de una vulnerabilidad, instale los paquetes actualizados de firefox que están disponibles a través de las recomendaciones que aparecen en la tabla de arriba y luego reinicie la aplicación.

Para instalar las actualizaciones, use el gestor de paquetes yum así:

yum update

Para actualizar únicamente el paquete firefoxy sus dependencias use: :

yum update firefox

Mitigación

Este fallo requiere que PDF.js esté habilitado en Firefox. PDF.js puede inhabilitarse así:

  1. Escriba about:config en la barra de direcciones Firefox
  2. Busque la entrada pdfjs.disabled
  3. Establezca la entrada pdfjs.disabledcomo True

Referencias

Mozilla advisory 2015-78
Mozilla Security Blog on this topic