[CentOS-de] SELinux und aktuelle Firefox Lücke

[Kai Bojens]

Moin.
Ich habe da ein grundsätzliches Verständnisproblem zu SELinux und Firefox.
Letzte Woche wurde die Firefox Lücke bekannt, mit der Dritte ohne Probleme
sensible Daten abgreifen konnten und ohne, dass dies überhaupt bemerkt
werden konnte [1]

Was mich nun wundert, ist folgender Satz in dem RedHat Advisory:

„Note: SELinux does not mitigate this issue.”

Dabei wird doch gerade Firefox gerne als Beispiel dafür angeführt, dass
SELinux genau solche Probleme verhindere, wie etwa hier:

„Processes inherit user's rights: Firefox, if compromised by a trojaned version,
could read a user's private ssh keys even though it has no reason to do so.” [2]

Nun habe ich CentOS leider nur im Serverbetrieb, jedoch nutze ich Fedora
als Desktop, was ja zumindest die gleiche Familie ist. Dort konnte ich nicht
beobachten, dass Firefox irgendwie eingeschränkt wäre, wie es eigentlich in
mozilla_selinux(8) beschrieben wird. Weder zeigt „ls -alZ” besondere Rechte,
noch deutet „ps auxwZ” auf Einschränkungen hin.

Daher die Frage: Warum hat SELinux laut RedHat diesen Fall nicht verhindert? Ist
nicht genau das der häufig behauptete Anwendungsfall?

[1] https://access.redhat.com/articles/1563163
[2] http://wiki.centos.org/HowTos/SELinux