Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Vulnerabilità Firefox di Mozilla (CVE-2015-4495)

Il Red Hat Product Security è venuto a conoscenza di una vulnerabilità relativa al web browser Firefox di Mozilla. In particolare tramite questa vulnerabilità è possibile creare appositamente pagine web maliziose per la lettura di file locali. È stato assegnato un CVE-2015-4495 ed ha un impatto [Importante] (https://access.redhat.com/security/updates/classification/#important). Red Hat desidera ringraziare il Mozilla project per aver segnalato questo problema.

Informazioni supplementari

È stata identificata una falla in Firefox di Mozilla attraverso la quale era possibile accedere ai file locali usando i permessi dell'utente che eseguiva Firefox.

Questa falla è stata scoperta nel visualizzatore dei file PDF di Firefox (PDF.js). A causa di questa vulnerabilità un utente malizioso era in grado di creare una pagina web, che se consultata da un utente ignaro, permetteva la rimozione arbitraria dei file (incluso le chiavi SSH private, il file /etc/passwd e altri file sesibili) dal sistema che eseguiva Firefox.

Questo bug è causato da una falla nel visualizzatore di file PDF.js di Mozilla la quale può essere sfruttata per bypassare il Same-Origin Policy, permettendo a JavaScript maliziosi di rimuovere i file dal sistema.

Impatto

È noto pubblicamente che questa falla è stata sfruttata questa vulnerabilità esiste e prende di mira i sistemi Linux. Tutti i prodotti di Red Hat che utilizzano il browser Firefox di Mozilla sono interessati da questo problema.

Nota Bene: SELinux non è in grado di mitigare questo problema.

Security Advisory

Consultare il security advisory di seguito riportato per la risoluzione di questo problema:

Prodotto Advisory
Red Hat Enterprise Linux 5 RHSA-2015:1581-1
Red Hat Enterprise Linux 6 RHSA-2015:1581-1
Red Hat Enterprise Linux 7 RHSA-2015:1581-1

Risoluzione

Per eliminare il verificarsi di questo tipo di vulnerabilità installare i pacchetti firefox aggiornati, disponibili attraverso gli advisory presenti nell'elenco sopra indicato, successivamente riavviare l'applicazione.

Per installare gli aggiornamenti usare il gestore dei pacchetti yum nel modo seguente:

yum update

Per aggiornare solo il pacchetto firefox e le relative dipendenze, usare:

yum update firefox

Come attenuare i rischi

Questa falla richiede un PDF.js abilitato in Firefox. È possibile disabilitare PDF.js nel modo seguente:

  1. Digitare about:config nella barra degli indirizzi di Firefox
  2. Andare alla ricerca della voce pdfjs.disabled
  3. Impostare pdfjs.disabled su True

Riferimenti

Mozilla advisory 2015-78
Mozilla Security Blog su questo argomento