Atualização de Segurança do Firefox no Rocky Linux 8 – RLSA-2026-27717

 

Atualize o Firefox no Rocky Linux 8 para corrigir 30+ CVEs críticos, incluindo escalação de privilégios e escape de sandbox. Guia prático com comandos, automação e troubleshooting.

Em 25 de junho de 2026, a Rocky Linux publicou o aviso de segurança RLSA-2026:27717, classificando a atualização do Firefox como Importante (com diversas vulnerabilidades avaliadas como Critical pela Tenable, com CVSS v3 base score 9.6).

O pacote firefox-140.12.0-1.el8_10 corrige mais de 30 CVEs, incluindo:

• Escape de sandbox nos componentes DOM: Workers (CVE-2026-12294), DOM: Navigation (CVE-2026-12295) e Security: Process Sandboxing (CVE-2026-12296)

• Use-after-free no Networking: HTTP (CVE-2026-12291)

• Escalação de privilégios no Graphics: WebRender (CVE-2026-12289)

• Condições de fronteira incorretas (Incorrect boundary conditions):

 no Web Audio (CVE-2026-12292) e CanvasWebGL (CVE-2026-12324)

• Bypass de Same-Origin Policy no Networking: Cookies (CVE-2026-12304)

• Múltiplos memory safety bugs: (CVE-2026-12290, CVE-2026-12298, CVE-2026-12305–12314, CVE-2026-12327–12329)

O impacto prático: um atacante remoto pode, com um único clique do usuário em um link malicioso, executar código arbitrário com os privilégios do processo Firefox, escapar da sandbox do navegador e comprometer o sistema hospedeiro.

Pré-requisitos

Passo a Passo

1. Verifique a versão atual do Firefox

Antes de aplicar a atualização, documente o estado atual do sistema:

bash

$ rpm -q firefox
firefox-115.10.0-1.el8_10.x86_64

Por que: Registrar a versão prévia permite auditoria e rollback, se necessário. Também confirma que você está, de fato, executando uma versão vulnerável.

2. Atualize o cache dos repositórios

bash

$ sudo dnf makecache --refresh
Rocky Linux 8 - BaseOS                        1.2 MB/s | 4.1 MB     00:03
Rocky Linux 8 - AppStream                     2.1 MB/s | 8.2 MB     00:03
Rocky Linux 8 - Extras                        245 kB/s | 512 kB     00:02
Metadata cache created.

Por que: O --refresh força a sincronização com os mirrors, garantindo que você obtenha a metadata mais recente com os pacotes de segurança receém-publicados.

3. Liste as atualizações disponíveis para o Firefox

bash

$ sudo dnf check-update firefox
Last metadata expiration check: 0:01:23 ago
firefox.x86_64 140.12.0-1.el8_10    rocky-8-appstream

Por que: Confirmar que a atualização (140.12.0) está disponível antes de prosseguir evita surpresas — especialmente em ambientes com repositórios locais ou proxies que podem estar desatualizados.

4. Aplique a atualização

bash

$ sudo dnf update firefox
Dependencies resolved.
================================================================================
 Package    Arch    Version                    Repository               Size
================================================================================
Upgrading:
 firefox    x86_64  140.12.0-1.el8_10          rocky-8-appstream        98 M

Transaction Summary
================================================================================
Upgrade  1 Package

Total download size: 98 M
Is this ok [y/N]: y
...
Running transaction
  Upgrading        : firefox-140.12.0-1.el8_10.x86_64              1/1
  Cleanup          : firefox-115.10.0-1.el8_10.x86_64              2/2
  Verifying        : firefox-140.12.0-1.el8_10.x86_64              1/2
  Verifying        : firefox-115.10.0-1.el8_10.x86_64              2/2

Updated:
  firefox.x86_64 140.12.0-1.el8_10

Complete!

Por que: O dnf update baixa e instala a nova versão, substituindo o binário antigo. O processo preserva seus perfis e configurações do usuário — a atualização é in-place.

5. Verifique a nova versão

bash

$ rpm -q firefox
firefox-140.12.0-1.el8_10.x86_64

$ firefox --version
Mozilla Firefox 140.12.0

6. Reinicie o Firefox (se estiver em execução)

bash

$ pkill -f firefox

Por que: O Firefox não é atualizado em tempo de execução; o binário em memória continua sendo a versão antiga até que o processo seja reiniciado. Em ambientes desktop com múltiplos usuários, considere usar pkill -u $USER firefox ou coordenar um reboot dos thin clients.

Automação com Ansible

Para ambientes com múltiplos servidores ou estações, automatize:

yaml

---
- name: Aplicar atualização de segurança do Firefox (RLSA-2026-27717)
  hosts: rocky8_servers
  become: true
  tasks:
    - name: Atualizar cache DNF
      dnf:
        update_cache: true
        cacheonly: false

    - name: Atualizar Firefox para 140.12.0
      dnf:
        name: firefox
        state: latest

    - name: Verificar versão instalada
      command: rpm -q firefox
      register: firefox_version

    - name: Exibir versão
      debug:
        msg: "Firefox atualizado para {{ firefox_version.stdout }}"

    - name: Matar processos Firefox antigos (opcional)
      shell: pkill -f firefox || true
      when: ansible_facts['os_family'] == "RedHat"

📘  Indicação de Leitura 

Livro: Segurança em Servidores Linux Ataque e Defesa

Esse livro  é um guia prático e abrangente sobre a segurança do sistema operacional Linux como um todo. O livro ensina a pensar como um atacante para fortalecer a defesa do servidor, abordando tópicos fundamentais como:

• Ferramentas de rede: Nmap, Netcat, knockd.

• Monitoramento: de arquivos e sistemas de arquivos.

• Defesas: contra malware e ataques DDoS.

• Descoberta de vulnerabilidades: como invasores encontram pontos fracos.

Segurança em Servidores Linux Ataque e Defesa: (anúncio) ->  https://link.amazon/B08G1PKaL

Eu ganho uma comissão quando você faz uma compra.

Troubleshooting

Problema: DNF não encontra a atualização.

Cenário: Após dnf check-update firefox, o sistema informa que não há atualizações disponíveis, mesmo com o aviso RLSA-2026-27717 já publicado.

Diagnóstico: O mirror local pode estar desatualizado ou o repositório appstream pode estar desabilitado.

Solução:

1. Verifique se o repositório AppStream está ativo:

1. bash

   $ dnf repolist enabled | grep appstream
   rocky-8-appstream    Rocky Linux 8 - AppStream

2. Limpe completamente o cache e force a sincronização:

1. bash

   $ sudo dnf clean all
   $ sudo dnf makecache --refresh

3. Se o problema persistir, mude para um mirror oficial:

1. bash

   $ sudo sed -i 's|^mirrorlist=|#mirrorlist=|' /etc/yum.repos.d/Rocky-*.repo
   $ sudo sed -i 's|^#baseurl=http://dl.rockylinux.org|baseurl=http://dl.rockylinux.org|' /etc/yum.repos.d/Rocky-*.repo
   $ sudo dnf makecache

---

Armadilha Comum — O Erro do Iniciante

"Atualizei o Firefox mas a vulnerabilidade continua — o scanner de segurança ainda aponta o CVE."

O erro clássico: o administrador atualiza o pacote, mas não reinicia os processos do Firefox em execução. O binário em disco é a versão 140.12.0, mas o processo em memória ainda é a versão antiga. 

Ferramentas de scanning como Nessus verificam a versão do pacote RPM (rpm -q firefox), mas scanners de rede que detectam o navegador via User-Agent ou headers HTTP podem encontrar a versão antiga se o processo não for reiniciado.

Solução correta:

bash

$ sudo dnf update firefox -y
$ pkill -f firefox
# Ou, para garantir que todos os usuários reiniciem:
$ for user in $(who | awk '{print $1}' | sort -u); do
    pkill -u "$user" -f firefox
  done

---

Conclusão

A atualização RLSA-2026-27717 é crítica para qualquer ambiente Rocky Linux 8 que utilize o Firefox — seja em estações de trabalho, kiosks ou thin clients. 

Com mais de 30 CVEs corrigidos, incluindo execução remota de código, escape de sandbox e bypass de Same-Origin Policy, a atualização para a versão 140.12.0-1.el8_10 deve ser tratada como prioridade máxima.

bash

# Comando único para atualização e reinício completo:
$ sudo dnf update firefox -y && sudo pkill -f firefox && echo "Firefox atualizado para $(rpm -q firefox)"

---