Mozilla Firefox, faille qui donne acces a vos données
La vulnérabilité provient de l’interaction du mécanisme qui impose la séparation de contexte JavaScript (la «même politique d’origine ») et de Firefox le PDF Viewer. Produits Mozilla qui ne contiennent pas la visionneuse de PDF, comme Firefox pour Android, ne sont pas vulnérables.La vulnérabilité ne permet pas l’exécution de code arbitraire, mais l’exploit était en mesure d’injecter une charge JavaScript dans le contexte de fichiers local. Cela lui a permis de rechercher et de télécharger des fichiers locaux potentiellement sensibles.
Les fichiers qu’il cherchait étaient étonnamment promoteur centré pour un exploit lancé sur un public nouvelles site général, même si bien sûr nous ne savons pas où l’annonce malveillant aurait été déployé. Sous Windows l’exploit regardé à la subversion, s3browser, et les fichiers de configuration Filezilla, .purple et Psi + compte des informations et des fichiers de configuration du site à partir de huit clients FTP populaires différentes. Sur Linux l’exploit va après que les fichiers de configuration globaux habituels comme / etc / passwd , puis dans tous les annuaires d’utilisateurs, il peut accéder à il cherche .bash_history , .mysql_history ,.pgsql_history , .ssh fichiers de configuration et des clés, des fichiers de configuration pour Remina , Filezilla, et Psi +, fichiers texte avec «passe» et «accès» dans les noms et les scripts shell. Les utilisateurs de Mac ne sont pas visés par cette notamment exploiter, mais ne seraient pas à l’abri quelqu’un doit créer une charge différente.
Ce matin, Mozilla a publié des mises à jour de sécurité qui fixent le vulnérabilité . Tous les utilisateurs de Firefox sont invités à mettre à jour Firefox 39.0.3. Le correctif a également été expédiée dans Firefox ESR 38.1.1.