No dia 06 de Agosto, foi publicado por Daniel Vedtiz no blog da Mozilla, sobre uma nova vulnerabilidade. Acompanhem aqui no Diolinux o desvelar dessa história.
Nova vulnerabilidade encontrada no Firefox
No dia 14 de Julho, foi publicado aqui no Diolinux o artgido sobre a Mozilla ter bloqueado o Flah no Firefox e explica como ativar o suporte HTML5 para assistir vídeos no Youtube. Depois Debatemos o assunto no DioCast.
Nova noticia que merece a atenção de todos, é que no dia 5 de Agosto, um usuário do Firefox informou a comunidade que um anuncio em um site de noticias da Rússia estava distribuindo um exploit para Firefox que procurava por arquivos vulneráveis e realizou upload deles em um servidor que aparenta estar na ucrânia. Na manhã do dia 06 de Agosto, a Mozilla lançou atualizações de segurança que corrigem a vulnerabilidade. Todos os usuários de Firefox são advertidos a atualizar o Firefox para a versão 39.0.3. A correção foi também incorporada ao Firefox ESR 38.1.1.
Esse vulnerabilidade no Firefox que permite obter informações de contas dos usuários em suas máquinas locais.
O processo de instalação da atualização é simples e bem explicado na Propriá página da Mozilla como pode ser viso abaixo.
 |
| Passe o cursor sobre a imagem para ler a tradução dos passos de 1 – 3 de como atualizar o Firefox. |
A vulnerabilidade vem da interação do mecanismo que força a separação de contexto do JavaScript e o PDF Viewer do Firefox. Os produtos da Mozilla que não contem o PDF Viewer, como o Firefox para Android, não são vulneráveis. A vulnerabilidade não habilita a execução de código arbitrário, mas o exploit foi capaz de injetar um JavaScript payload no arquivo local. Isso permite a busca e upload de arquivos local que são potencialmente vulneráveis.
O exploit não deixa rastros na máquina local que passou. Mais detalhes sobre o exploit. Por essa razão a Mozilla adverte fortemente a baixar a atualização de correção que saiu muito rápido (em menos de um dia, parabéns a comunidade)
