El día 05 de agosto, un usuario de Firefox informó que un sitio de noticias en Rusia estaba publicitando una vulnerabilidad (exploit) de Firefox que buscaba archivos sensibles y les ha subido a un servidor que parece estar en Ucrania. Mozilla lanzó actualizaciones de seguridad que corrigen la vulnerabilidad.
Se insta a todos los usuarios de Firefox a actualizar a Firefox 39.0.3. La solución también se ha hecho en Firefox ESR 38.1.1.
La vulnerabilidad proviene de la interacción del mecanismo que hace cumplir la separación de contexto JavaScript (la “misma política origen”) y el visor de PDF de Firefox. Productos de Mozilla que no contienen el Visor de PDF, como Firefox para Android, no son vulnerables. La vulnerabilidad no permite la ejecución de código arbitrario, pero el exploit fue capaz de inyectar una carga útil de JavaScript en el contexto de archivos local. Esto le permitió buscar y cargar archivos locales potencialmente sensibles.
Los archivos que estaba buscando eran sorprendentemente centrados para el exploit lanzado en el sitio de noticias que tiene un público general, aunque por supuesto no sabemos dónde más podría haber sido desplegado el anuncio malicioso. En Windows el exploit buscaban Subversion, s3browser y archivos de configuración Filezilla, .purple, información de la cuenta Psi+ y los archivos de configuración del sitio a partir de ocho diferentes clientes FTP populares. En Linux el exploit busca los archivos de configuración globales habituales, como /etc/passwd, y luego en todos los directorios de usuario que puede acceder a buscar, como es ~/.bash_history, ~/.pgsql_history, archivos de configuración ~/.ssh y llaves, archivos de configuración ~/.mysql_history y también de Remina, Filezilla y Psi+, archivos de texto con “pass” y “access” en los nombres y las secuencias de comandos de shell. Los usuarios de Mac no son el objetivo de este particular exploit pero no serían inmunes si alguien crear una carga diferente.
El exploit no deja rastro pues ha sido ejecutado en la máquina local. Si utiliza Firefox en Windows o Linux sería prudente cambiar las contraseñas y claves que se encuentran en los archivos mencionados anteriormente si utiliza los programas asociados. Las personas que usan el software de bloqueo de anuncios pueden haber sido protegidos de la explotación en función del software y filtros específicos que se utiliza pues necesita Javascript para ser executado.
Fuente: Blog Mozilla