Mozilla Firefox 漏洞(CVE-2015-4495)
已更新 -
Red Hat 产品安全团队在 Mozilla Firefox 网页浏览器中发现一个安全漏洞 - 特别制作的恶意网页可读取本地文件。已为这个漏洞分配了 CVE-2015-4495,并将其评定为 重要 影响。Red Hat 愿借此机会感谢 Mozilla 项目组报告这个问题。
背景资料
在 Mozilla Firefox 中发现一个漏洞,攻击者可利用这个漏洞,以运行 Firefox 的用户权限访问本地文件。
这个漏洞是在 Mozilla Firefox 的 DPF 查看器(PDF.js)中发现的。攻击者可创建一个恶意网页,当被攻击者查看该网页时,就可从运行 Firefox 的系统中盗取任意文件(包括专用 SSH 密钥、/etc/passwd 文件及其他敏感文件)。
这个 bug 是由 Mozilla PDF.js 文件查看器造成,该程序可绕过同源政策(Same-Origin Policy),并允许恶意 JavaScript 盗取系统中的文件。
影响
这个漏洞已被公开利用,且目前利用的目标特别指向 Linux 系统。所有使用 Mozilla Firefox 浏览器的 Red Hat 产品都会受这个问题的影响。
注: SELinux 不会缓解这个问题。
安全公告
请查看以下可解决这个问题的安全公告:
| 产品 | 公告 |
|---|---|
| Red Hat Enterprise Linux 5 | RHSA-2015:1581-1 |
| Red Hat Enterprise Linux 6 | RHSA-2015:1581-1 |
| Red Hat Enterprise Linux 7 | RHSA-2015:1581-1 |
解决方案
为消除该漏洞被恶意利用的可能性,请安装以上公告中列出的更新 firefox 软件包,然后重启该应用程序。
请使用 yum 软件包管理器安装这些更新软件包,如下所示:
yum update
如果只是更新 firefox 软件包及其相依性软件包,请使用如下命令:
yum update firefox
缓解操作
利用这个漏洞需要在 Firefox 中启用 PDF.js。因此可按照以下操作禁用 Red Hat Enterprise Linux:
- 在 Firefox 地址栏中输入
about:config - 搜索
pdfjs.disabled条目 - 将
pdfjs.disabled条目设定为True
Comments