Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Mozilla Firefox vulnerabilidade (CVE-2015-4495)

Segurança do Produto da Red Hat reconheceu uma vulnerabilidade de segurança no navegador da Web do Mozilla Firefox. Principalmente páginas da Web desenvolvidas maliciosamente. Esta falha recebeu o CVE-2015-4495 e foi classificada como tendo um impacto [Importante] (https://access.redhat.com/security/updates/classification/#important). A Red Hat gostaria de agradecer o projeto Mozilla por relatar estes problemas.

Informações de Fundo

Foi encontrada uma falha no Mozilla Firefox, que poderia permitir que um atacante acesse arquivos locais com as permissões do usuário executando o Firefox.

A falha foi descoberta em arquivo PDF visualizador de Mozilla Firefox (PDF.js). Um invasor pode criar uma página web maliciosa que, quando vista por uma vítima, poderia roubar arquivos arbitrários do sistema executando o Firefox (incluindo chaves privadas SSH, o / etc / arquivo passwd e outros arquivos potencialmente sensíveis).

Este erro é causado por uma falha no visualizador de arquivos PDF.js Mozilla, que pode ser usado para ignorar a mesma origem política e permitir que JavaScript malicioso roube arquivos do sistema.

Impacto

Sabe-se que esta falha está sendo explorada publicamente, e uma ** exploração existe**, a qual marca principalmente os sistemas Linux. Todos os produtos da Red Hat que usam o navegador Mozilla Firefox são afetados por esse problema.

Nota: SELinux não mitiga este problema.

Conselhos de Segurança

Veja o conselho de segurança abaixo que repara este problema:

Produto Supervisão
Red Hat Enterprise Linux 5 RHSA-2015:1581-1
Red Hat Enterprise Linux 6 RHSA-2015:1581-1
Red Hat Enterprise Linux 7 RHSA-2015:1581-1

Resolução

Para eliminar a possibilidade de exploração, instale os pacotes atualizados do 'firefox' que foram disponibilizados através dos conselheiros listados na tabela acima e depois reinicie o aplicativo.

Para instalar as atualizações, use o gerenciador de pacotes yum da seguinte forma:

yum update

Para atualizar somente o pacote 'firefox' e suas dependências, use:

yum update firefox

Mitigação

Esta falha requer que o PDF.js seja habilitado no Firefox. O PDF.js pode ser desabilitado desta seguinte forma:

  1. Digite about:config na barra de endereços do Firefox
  2. Busque a entrada pdfjs.disabled
  3. Defina a entrada pdfjs.disabled para True

Referências

Mozilla advisory 2015-78
Mozilla Security Blog on this topic