Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Mozilla Firefox 漏洞(CVE-2015-4495)

Red Hat 产品安全团队在 Mozilla Firefox 网页浏览器中发现一个安全漏洞 - 特别制作的恶意网页可读取本地文件。已为这个漏洞分配了 CVE-2015-4495,并将其评定为 重要 影响。Red Hat 愿借此机会感谢 Mozilla 项目组报告这个问题。

背景资料

在 Mozilla Firefox 中发现一个漏洞,攻击者可利用这个漏洞,以运行 Firefox 的用户权限访问本地文件。

这个漏洞是在 Mozilla Firefox 的 DPF 查看器(PDF.js)中发现的。攻击者可创建一个恶意网页,当被攻击者查看该网页时,就可从运行 Firefox 的系统中盗取任意文件(包括专用 SSH 密钥、/etc/passwd 文件及其他敏感文件)。

这个 bug 是由 Mozilla PDF.js 文件查看器造成,该程序可绕过同源政策(Same-Origin Policy),并允许恶意 JavaScript 盗取系统中的文件。

影响

这个漏洞已被公开利用,且目前利用的目标特别指向 Linux 系统。所有使用 Mozilla Firefox 浏览器的 Red Hat 产品都会受这个问题的影响。

注: SELinux 不会缓解这个问题。

安全公告

请查看以下可解决这个问题的安全公告:

产品 公告
Red Hat Enterprise Linux 5 RHSA-2015:1581-1
Red Hat Enterprise Linux 6 RHSA-2015:1581-1
Red Hat Enterprise Linux 7 RHSA-2015:1581-1

解决方案

为消除该漏洞被恶意利用的可能性,请安装以上公告中列出的更新 firefox 软件包,然后重启该应用程序。

请使用 yum 软件包管理器安装这些更新软件包,如下所示:

yum update

如果只是更新 firefox 软件包及其相依性软件包,请使用如下命令:

yum update firefox

缓解操作

利用这个漏洞需要在 Firefox 中启用 PDF.js。因此可按照以下操作禁用 Red Hat Enterprise Linux:

  1. 在 Firefox 地址栏中输入 about:config
  2. 搜索 pdfjs.disabled 条目
  3. pdfjs.disabled 条目设定为 True

参考
Mozilla 公告 2015-78
有关此主题的 Mozilla 安全日志