Mozilla Firefox 脆弱性 (CVE-2015-4495)
Red Hat Product Security チームは、Mozilla Firefox web ブラウザーのセキュリティー脆弱性を認識しています。この脆弱性により、特別に細工された悪意のある web ページからローカルファイルが読み取られる可能性があります。この脆弱性は CVE-2015-4495 で対応しており、影響度については 重要な影響 と評価しています。Red Hat はこの問題をご報告いただいた Mozilla プロジェクトに謝意を表します。
背景情報
Firefox を実行するユーザーのパーミッションを使って攻撃者がローカルファイルにアクセスできるようにする Mozilla Firefox の脆弱性が見つかりました。
Mozilla Firefox の PDF ファイルビューアー (PDF.js) において、この脆弱性が発見されました。攻撃者は悪意のある web ページを作成することにより、対象者がこのページを閲覧した際に、Firefox を実行するシステムから任意のファイル (プライベート SSH キー、/etc/passwd ファイルその他の機密ファイルを含む) を盗むことができるようになります。
この不具合は Mozilla PDF.js ファイルビューアーの脆弱性によって引き起こされます。このファイルビューアーの脆弱性を使用すると、「同一生成元ポリシー (Same-Origin Policy)」がバイパスされ、悪意のある JavaScript を使ってシステムからファイルを盗むことが可能になります。
影響
この脆弱性の悪用について、とりわけ Linux システムを標的とする 脆弱性の悪用 が確認されています。Mozilla Firefox ブラウザーを使用するすべての Red Hat 製品がこの問題の影響を受けます。
注記: SELinux によりこの問題が緩和されることはありません。
セキュリティーアドバイザリー
この問題を修正する以下のセキュリティーアドバイザリーを参照してください。
| 製品 | アドバイザリー |
|---|---|
| Red Hat Enterprise Linux 5 | RHSA-2015:1581-1 |
| Red Hat Enterprise Linux 6 | RHSA-2015:1581-1 |
| Red Hat Enterprise Linux 7 | RHSA-2015:1581-1 |
解決策
この脆弱性が悪用される可能性を排除するには、上記の表に一覧表示されているアドバイザリーから入手可能なアップデートされた firefox パッケージをインストールしてからアプリケーションを再起動します。
アップデートをインストールするには、以下のように yum パッケージマネージャーを使用します。
yum update
firefox パッケージとその依存関係のアップデートのみを実行する場合は、以下を使用します。
yum update firefox
軽減策
この脆弱性については、PDF.js を Firefox で有効にしている必要があります。PDF.js は以下のように無効にすることができます。
- Firefox アドレスバーに
about:configを入力します。 pdfjs.disabledエントリーを検索します。pdfjs.disabledエントリーをTrueに設定します。
参考情報
Mozilla advisory 2015-78
Mozilla Security Blog on this topic
Comments