Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Mozilla Firefox 脆弱性 (CVE-2015-4495)

Red Hat Product Security チームは、Mozilla Firefox web ブラウザーのセキュリティー脆弱性を認識しています。この脆弱性により、特別に細工された悪意のある web ページからローカルファイルが読み取られる可能性があります。この脆弱性は CVE-2015-4495 で対応しており、影響度については 重要な影響 と評価しています。Red Hat はこの問題をご報告いただいた Mozilla プロジェクトに謝意を表します。

背景情報

Firefox を実行するユーザーのパーミッションを使って攻撃者がローカルファイルにアクセスできるようにする Mozilla Firefox の脆弱性が見つかりました。

Mozilla Firefox の PDF ファイルビューアー (PDF.js) において、この脆弱性が発見されました。攻撃者は悪意のある web ページを作成することにより、対象者がこのページを閲覧した際に、Firefox を実行するシステムから任意のファイル (プライベート SSH キー、/etc/passwd ファイルその他の機密ファイルを含む) を盗むことができるようになります。

この不具合は Mozilla PDF.js ファイルビューアーの脆弱性によって引き起こされます。このファイルビューアーの脆弱性を使用すると、「同一生成元ポリシー (Same-Origin Policy)」がバイパスされ、悪意のある JavaScript を使ってシステムからファイルを盗むことが可能になります。

影響

この脆弱性の悪用について、とりわけ Linux システムを標的とする 脆弱性の悪用 が確認されています。Mozilla Firefox ブラウザーを使用するすべての Red Hat 製品がこの問題の影響を受けます。

注記: SELinux によりこの問題が緩和されることはありません。

セキュリティーアドバイザリー

この問題を修正する以下のセキュリティーアドバイザリーを参照してください。

製品 アドバイザリー
Red Hat Enterprise Linux 5 RHSA-2015:1581-1
Red Hat Enterprise Linux 6 RHSA-2015:1581-1
Red Hat Enterprise Linux 7 RHSA-2015:1581-1

解決策

この脆弱性が悪用される可能性を排除するには、上記の表に一覧表示されているアドバイザリーから入手可能なアップデートされた firefox パッケージをインストールしてからアプリケーションを再起動します。

アップデートをインストールするには、以下のように yum パッケージマネージャーを使用します。

yum update

firefox パッケージとその依存関係のアップデートのみを実行する場合は、以下を使用します。

yum update firefox

軽減策

この脆弱性については、PDF.js を Firefox で有効にしている必要があります。PDF.js は以下のように無効にすることができます。

  1. Firefox アドレスバーに about:config を入力します。
  2. pdfjs.disabled エントリーを検索します。
  3. pdfjs.disabled エントリーを True に設定します。

参考情報

Mozilla advisory 2015-78
Mozilla Security Blog on this topic