Vulnérabilité Mozilla Firefox (CVE-2015-4495)
Red Hat Product Security vient de prendre connaissance d'une faille de sécurité dans le navigateur web Mozilla Firefox. Des pages web malicieuses conçues spécialement à cet effet pouvaient lire les fichiers locaux. La vulnérabilité a été assignée à CVE-2015-4495 et a été évaluée à un niveau d'impact Important. Red Hat remercie le projet Mozilla pour nous faire part de ce problème.
Informations générales
Une défaillance, qui permettait à un attaquant d'accéder aux fichiers locaux avec la permission de l'utilisateur en train d'exécuter Firefox, a été détectée dans Mozilla Firefox.
La défaillance a été découverte dans l'afficheur de fichiers PDF de Mozilla Firefox (PDF.js). Un attaquant pouvait créer une page web malicieuse qui, si visualisée par une victime, pouvait usurper des fichiers arbitraires (comme des clés SSH privées, le fichier /etc/passwd, ou autres fichiers potentiellement sensibles) du système exécutant Firefox.
Ce bogue vient d'une défaillance de l'afficheur de fichiers PDF.js de Mozilla, qui peut être utilisé pour éviter la stratégie Same-Origin et permettre ainsi à un script Java malicieux d'usurper des fichiers dans le système.
Impact
Nous savons que cette défaillance est exploitée publiquement, et qu'il existe une exploitation spécialement conçue visant les systèmes Linux. Tous les produits Red Hat qui utilisent le navigateur Mozilla Firefox sont affectés par ce problème.
Remarque : SELinux n'atténue pas ce risque.
Avis de sécurité
Voir l'avis de sécurité ci-dessous qui régle ce problème :
Produit | Avis |
---|---|
Red Hat Enterprise Linux 5 | RHSA-2015:1581-1 |
Red Hat Enterprise Linux 6 | RHSA-2015:1581-1 |
Red Hat Enterprise Linux 7 | RHSA-2015:1581-1 |
Résolution
Pour éliminer les risques d'exploitation, installez les paquets « firefox » mis à jour et rendus disponibles dans l'avis de sécurité répertoriés dans le tableau ci-dessus et redémarrez l'application.
Pour installer les mises à jour, veuillez utiliser le gestionnaire de paquets yum comme suit :
yum update
Pour uniquement mettre à jour le paquet « firefox » et ses dépendances, veuillez utiliser :
yum update firefox
Mitigation
Cette faille exige que PDF.js soit activé dans Firefox. PDF.js peut être désactivé de la manière suivante :
- Saisir « about:config » dans la barre d'adresses de Firefox
- Chercher le texte suivant « pdfjs.disabled »
- Définir « pdfjs.disabled » à True
Références
Mozilla advisory 2015-78
Mozilla Security Blog on this topic
Comments