¿Cómo puedo evitar que Firefox acceda a archivos fuera de su directorio .config?


0

Hoy se reveló una vulnerabilidad en Firefox que permite a un atacante ejecutar JavaScript en un "contexto de archivo local", dándole acceso al sistema de archivos. En la naturaleza, esto se usó para escanear el directorio de inicio en busca de archivos que contengan credenciales y subirlos a un servidor remoto.

En mi opinión, el navegador web no tiene por qué acceder a ningún archivo en mi sistema de archivos, excepto aquellos que estrictamente necesita para funcionar (que debería ser su .configsubdirectorio, la Downloadscarpeta (solo escritura) y posiblemente una carpeta temporal). ¿Cómo puedo hacer cumplir eso?


1
All Firefox users are urged to update to Firefox 39.0.3. The fix has also been shipped in Firefox ESR 38.1.1.Desde el enlace que proporcionó, publicado el 6/9, no dice que esta es la respuesta a la pregunta, pero sería bueno mencionar al menos.
Mark Kirby el

Intente con apaparmor , aunque dudo que funcione de acuerdo con las opiniones de uno. Un vistazo rápido a /etc/apparmor.d/usr.bin.firefox muestra un perfil bastante más permisivo de lo que esperarías.
mikewhatever

¿Hay alguna razón concreta para no actualizar? De lo contrario Kirby como Mark dijo modernización es la respuesta
kos

Respuestas:


1

Tú también puedes:

  • Usa firejail para crear sandbox para firefox
  • Cree un contenedor LXC (construido en el kernel VM) para mantener a Firefox en la cárcel
  • Agregue firefox a AppArmor (módulo de seguridad del núcleo incorporado).

0

Actualiza tu sistema. Una versión parcheada de Firefox (39.0.3 + build2-0ubuntu) está disponible para todas las versiones de Ubuntu.

sudo apt-get update
sudo apt-get dist-upgrade firefox

1
@kos Buen punto, cambiado :)
AB

¡deberías eliminar el comentario anterior y luego enviarme un ping para que yo elimine el mío y parece que estás escuchando voces que no están allí!
Fabby
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.