Разработчики проекта Mozilla сообщили о выявлении критической уязвимости (CVE-2015-4495) в PDF-просмотрщике PDF.js, встроенном в браузер Firefox. Для устранения проблемы оперативно выпущены обновления Firefox 39.0.3 и 38.1.1 ESR. При этом сообщается, что ещё до выхода исправления в сети зафиксированы факты эксплуатации данной уязвимости через размещение вредоносных рекламных блоков на одном из российских новостных сайтов общей тематики. Уязвимость позволяет атакующему обойти ограничения режима изоляции JavaScript-кода (same origin) и выйти за пределы браузерного окружения, что даёт возможность прочитать содержимое локальных файлов в окружении пользователя и осуществить выполнение JavaScript-кода в контексте локальных файлов. Например, используемый для атаки вредоносный код внедрялся в PDF.js и выполнял поиск файлов, содержащих персональные сведения пользователя, после чего загружал их на сервер злоумышленников. Поражались не только компьютеры с Windows, но и Linux-системы. После эксплуатации в Windows осуществлялся поиск файлов конфигурации, которые могут содержать пароли, в том числе настройки subversion, s3browser, Filezilla, .purple, Psi+, популярных FTP-клиентов. В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории .ssh, настроек Remmina, Filezilla и Psi+, а также текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов. Использование дополнений для блокирования рекламы могло защитить от выполнения эксплоита, в зависимости от вида используемых фильтров и блокировщиков Источник: http://www.opennet.ru/opennews/art.shtml?num=42743См. также: https://habrahabr.ru/post/264335/
Антон Черепанов (ESET NOD32) подготовил анализ двух версий вредоносного скрипта и ассоциированных с ними кибератак на пользователей Windows, Linux и OS X. "Встроенный в Firefox плагин чтения PDF-файлов может быть отключен путем установки параметра pdfjs.disabled в значение true." "Частичный список скомпрометированных серверов: hxxp://akipress.org/ hxxp://tazabek.kg/ hxxp://super.kg/ hxxp://rusmmg.ru/ hxxp://forum.cs-cart.com/ hxxp://searchengines.ru/ hxxp://forum.nag.ru/ Адреса серверов, которые участвовали в кибератаке: maxcdnn[.]com (93.115.38.136) acintcdn[.]net (185.86.77.48) google-user-cache[.]com (108.61.205.41)"