Hoy se reveló una vulnerabilidad en Firefox que permite a un atacante ejecutar JavaScript en un "contexto de archivo local", dándole acceso al sistema de archivos. En la naturaleza, esto se usó para escanear el directorio de inicio en busca de archivos que contengan credenciales y subirlos a un servidor remoto.
En mi opinión, el navegador web no tiene por qué acceder a ningún archivo en mi sistema de archivos, excepto aquellos que estrictamente necesita para funcionar (que debería ser su .config
subdirectorio, la Downloads
carpeta (solo escritura) y posiblemente una carpeta temporal). ¿Cómo puedo hacer cumplir eso?
All Firefox users are urged to update to Firefox 39.0.3. The fix has also been shipped in Firefox ESR 38.1.1.
Desde el enlace que proporcionó, publicado el 6/9, no dice que esta es la respuesta a la pregunta, pero sería bueno mencionar al menos.Respuestas:
Tú también puedes:
fuente
Actualiza tu sistema. Una versión parcheada de Firefox (39.0.3 + build2-0ubuntu) está disponible para todas las versiones de Ubuntu.
fuente