Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Vulnérabilité Mozilla Firefox (CVE-2015-4495)

Red Hat Product Security vient de prendre connaissance d'une faille de sécurité dans le navigateur web Mozilla Firefox. Des pages web malicieuses conçues spécialement à cet effet pouvaient lire les fichiers locaux. La vulnérabilité a été assignée à CVE-2015-4495 et a été évaluée à un niveau d'impact Important. Red Hat remercie le projet Mozilla pour nous faire part de ce problème.

Informations générales

Une défaillance, qui permettait à un attaquant d'accéder aux fichiers locaux avec la permission de l'utilisateur en train d'exécuter Firefox, a été détectée dans Mozilla Firefox.

La défaillance a été découverte dans l'afficheur de fichiers PDF de Mozilla Firefox (PDF.js). Un attaquant pouvait créer une page web malicieuse qui, si visualisée par une victime, pouvait usurper des fichiers arbitraires (comme des clés SSH privées, le fichier /etc/passwd, ou autres fichiers potentiellement sensibles) du système exécutant Firefox.

Ce bogue vient d'une défaillance de l'afficheur de fichiers PDF.js de Mozilla, qui peut être utilisé pour éviter la stratégie Same-Origin et permettre ainsi à un script Java malicieux d'usurper des fichiers dans le système.

Impact

Nous savons que cette défaillance est exploitée publiquement, et qu'il existe une exploitation spécialement conçue visant les systèmes Linux. Tous les produits Red Hat qui utilisent le navigateur Mozilla Firefox sont affectés par ce problème.

Remarque : SELinux n'atténue pas ce risque.

Avis de sécurité

Voir l'avis de sécurité ci-dessous qui régle ce problème :

Produit Avis
Red Hat Enterprise Linux 5 RHSA-2015:1581-1
Red Hat Enterprise Linux 6 RHSA-2015:1581-1
Red Hat Enterprise Linux 7 RHSA-2015:1581-1

Résolution

Pour éliminer les risques d'exploitation, installez les paquets « firefox » mis à jour et rendus disponibles dans l'avis de sécurité répertoriés dans le tableau ci-dessus et redémarrez l'application.

Pour installer les mises à jour, veuillez utiliser le gestionnaire de paquets yum comme suit :

yum update

Pour uniquement mettre à jour le paquet « firefox » et ses dépendances, veuillez utiliser :

yum update firefox

Mitigation

Cette faille exige que PDF.js soit activé dans Firefox. PDF.js peut être désactivé de la manière suivante :

  1. Saisir « about:config » dans la barre d'adresses de Firefox
  2. Chercher le texte suivant « pdfjs.disabled »
  3. Définir « pdfjs.disabled » à True

Références

Mozilla advisory 2015-78
Mozilla Security Blog on this topic