Alex Gaynor

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL (versões afetadas não especificadas) **Descrição** O processamento de arquivos PKCS#12 falha ao realizar a validação de entrada suficiente para arquivos que utilizam o mecanismo de integridade Password-Based Message Authentication Code 1 (PBMAC1). Isso permite que um invasor crie arquivos PKCS#12 não criptografados que especificam uma chave HMAC de apenas um byte. Consequentemente, um serviço que lê esses arquivos pode aceitar certificados e chaves privadas forjados com uma probabilidade de 1 em 256. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL versões 3.0 a 3.3 **Description** As implementações de AES-SIV e AES-GCM-SIV lidam incorretamente com a autenticação de Dados Autenticados Adicionais (AAD) quando o texto cifrado está vazio, permitindo a falsificação de tais mensagens. Na implementação do provedor desses cifradores, a tag esperada é computada apenas quando a função de descriptografia é invocada com dados não vazios. Se o chamador fornecer AAD e, em seguida, chamar a função `EVP DecryptFinal ex()` sem atualizar o texto cifrado (o que ocorre quando o comprimento do texto cifrado recebido é zero), a tag não é recalculada e mantém seu valor de zeros. Consequentemente, para o AES-GCM-SIV, um invasor pode passar pela autenticação usando AAD arbitrário, texto cifrado vazio e uma tag de zeros sem conhecer a chave. Para o AES-SIV, o ataque requer que a aplicação reutilize o contexto de descriptografia sem redefinir a chave. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL (versões afetadas não especificadas) **Description** Ao utilizar a cifra AES-OCB com a interface one-shot `EVP Cipher()`, o vetor de inicialização (IV) fornecido pela aplicação é silenciosamente descartado. Isso faz com que cada mensagem criptografada com a mesma chave utilize o mesmo nonce efetivo, resultando na reutilização de (chave, nonce) e perda de confidencialidade. Se o mesmo caminho for utilizado para calcular a tag de autenticação, a tag dependerá apenas do par (chave, IV) e não do texto simples ou do texto cifrado, permitindo a falsificação universal de qualquer texto cifrado a partir de uma única mensagem capturada. Isso ocorre porque o manipulador one-shot não descarrega o IV no contexto OCB, diferentemente do manipulador de streaming. Se `EVP EncryptFinal ex()` for posteriormente utilizado para obter a tag de autenticação, a configuração diferida do IV limpa o checksum acumulado que deveria ter sido processado sobre o texto simples. **Recommendations** Evite utilizar a API one-shot `EVP Cipher()` com a cifra AES-OCB e, em vez disso, utilize a API de streaming AEAD documentada, composta por `EVP CipherUpdate()` e `EVP CipherFinal ex()`.

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL FIPS modules versões 3.0, 3.4, 3.5, 3.6 e 4.0 **Description** Quando a função `EVP PKEY derive set peer()` é chamada com uma chave de peer DHX (X9.42), o software não verifica adequadamente a associação ao subgrupo. Especificamente, a verificação `Y^q ≡ 1 (mod p)` é realizada utilizando o parâmetro `q` fornecido pelo peer, em vez do parâmetro `q` da chave local. Embora outros parâmetros de domínio sejam comparados com a chave privada, o valor de `q` não é comparado. Isso permite que um peer malicioso apresente uma chave X9.42 com os parâmetros `p` e `g` da vítima, um `q` forjado igual a `r` (um fator primo pequeno do cofator `(p−1)/q local`) e um valor público `Y` de ordem `r`. Isso ignora as verificações e resulta em um segredo compartilhado com apenas `r` valores distintos, vazando a chave privada módulo `r`. Ao repetir este processo para cada fator primo pequeno do cofator e combinar os resultados via Teorema Chinês do Resto (CRT), um invasor pode recuperar a chave privada completa. Isso é conhecido como um ataque de Lim–Lee ou de confinamento de subgrupo pequeno. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL (versões afetadas não especificadas) **Descrição** Um erro no callback utilizado para verificar certificados durante uma atualização de chave de CA Raiz no Protocolo de Gerenciamento de Certificados (CMP) torna a validação do certificado ineficaz. Especificamente, um erro de digitação no código de construção da cadeia de certificados dentro da função `OSSL CMP get1 rootCaKeyUpdate()` faz com que um certificado incorreto (`newWithOld` em vez de `oldRoot`) seja adicionado à cadeia. Isso permite que um invasor com credenciais válidas de nível de Autoridade de Registro (RA) ignore a verificação de assinatura e substitua o certificado da CA raiz para clientes CMP por um certificado autoassinado arbitrário, escalando efetivamente as credenciais para o nível de Autoridade de Certificação (CA) raiz. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL (versões afetadas não especificadas) **Description** As funções `CMS decrypt()` e `PKCS7 decrypt()` são suscetíveis a um ataque do tipo Bleichenbacher, que é um canal lateral de texto cifrado escolhido adaptativamente. Isso permite que um invasor use uma aplicação vulnerável para descriptografar ou assinar mensagens usando a chave RSA privada da vítima. O problema ocorre em dois cenários: primeiro, quando a API de descriptografia é usada sem um certificado de destinatário, o OpenSSL itera por cada `KeyTransRecipientInfo` (KTRI) sem parar no primeiro sucesso; segundo, quando um certificado de destinatário é fornecido, mas o destinatário não é encontrado, uma chave aleatória é substituída. Em ambos os casos, se um invasor conseguir observar códigos de erro ou a saída da descriptografia, ele poderá estabelecer um oráculo para descriptografar textos cifrados RSA ou forjar assinaturas PKCS#1 v1.5. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenSSL (versões afetadas não especificadas) **Description** O processamento de Serviços de Mensagens Criptográficas (CMS) falha ao realizar a validação de entrada suficiente nos campos de cifra e comprimento da tag de contêineres AuthEnvelopedData. Isso permite que atacantes alcancem funcionalidade equivalente à chave para um destinatário CMS ou ignorem a validação de integridade de uma mensagem. Em um cenário, um atacante pode enviar uma mensagem CMS onde a cifra é especificada como uma cifra não-AEAD (Criptografia Autenticada com Dados Associados). Se um atacante capturar uma mensagem AuthEnvelopedData AES-GCM legítima, ele pode reescrever o OID interno para AES-256-OFB (um modo de fluxo de chaves não autenticado) com um IV e texto cifrado escolhidos. Se a aplicação fornecer feedback sobre o sucesso ou falha da descriptografia, ela pode atuar como um oráculo para obter funcionalidade equivalente à chave para a `CEK` (chave de criptografia de conteúdo). Além disso, um atacante pode reduzir o comprimento da tag de uma cifra AEAD para um único byte, permitindo um ataque de força bruta para ignorar verificações de integridade em aplicações que confiam na função `CMS decrypt()` para rejeitar conteúdo modificado. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas OpenSSL FIPS Module versão 3.6 Descrição Aplicações que utilizam criptografia ou descriptografia AES-CFB128 em sistemas equipados com AVX-512 e suporte VAES podem experimentar uma leitura fora dos limites de até 15 bytes ao lidar com blocos de cifra parciais. Isso pode levar a uma negação de serviço se o buffer de entrada estiver em um limite de página de memória e a página subsequente não estiver mapeada. O problema ocorre apenas ao processar blocos parciais e em sistemas x86-64 com suporte a instruções AVX-512 e VAES. Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 149 Thunderbird versions prior to 149 **Description** An undefined behavior issue exists in the Audio/Video component. This can lead to unexpected program behavior. **Recommendations** Update Firefox to version 149 or later. Update Thunderbird to version 149 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 149 Thunderbird versions prior to 149 **Description** A use-after-free issue exists in the JavaScript Engine component. This condition may allow for unexpected behavior. **Recommendations** Update Firefox to version 149 or later. Update Thunderbird to version 149 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 149 Firefox ESR versions prior to 140.9 Thunderbird versions prior to 149 Thunderbird versions prior to 140.9 **Description** A denial-of-service issue exists in the WebRTC: Signaling component. **Recommendations** Update Firefox to version 149 or later. Update Firefox ESR to version 140.9 or later. Update Thunderbird to version 149 or later. Update Thunderbird to version 140.9 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 149 Firefox ESR versions prior to 140.9 Thunderbird versions prior to 149 Thunderbird versions prior to 140.9 **Description** An undefined behavior exists within the WebRTC: Signaling component. This issue impacts the listed versions of Firefox and Thunderbird. **Recommendations** Update Firefox to version 149 or later. Update Firefox ESR to version 140.9 or later. Update Thunderbird to version 149 or later. Update Thunderbird to version 140.9 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 149 Firefox ESR versions prior to 140.9 Thunderbird versions prior to 149 Thunderbird versions prior to 140.9 **Description** An undefined behavior exists within the WebRTC: Signaling component. This issue impacts the listed software. **Recommendations** Update Firefox to version 149 or later. Update Firefox ESR to version 140.9 or later. Update Thunderbird to version 149 or later. Update Thunderbird to version 140.9 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 66 Firefox ESR versions prior to 60.6 Thunderbird versions prior to 60.6 **Description** The issue is related to memory safety bugs and buffer copying without checking the size of input data, which could potentially be exploited to run arbitrary code. This may lead to memory corruption. **Recommendations** For Firefox versions prior to 66, update to version 66 or later. For Firefox ESR versions prior to 60.6, update to version 60.6 or later. For Thunderbird versions prior to 60.6, update to version 60.6 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 65 **Description** The issue is related to a buffer overflow in memory, which can be exploited by a remote attacker using a specially crafted web page. This could potentially allow the execution of arbitrary code or cause a denial of service. The estimated number of potentially affected devices worldwide is not specified. There is evidence of memory corruption, and it is presumed that some of these bugs could be exploited with enough effort. **Recommendations** For versions prior to 65, update to version 65 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable web pages until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 65 Firefox ESR versions prior to 60.5 Thunderbird versions prior to 60.5 **Description** The issue is related to memory safety bugs, including evidence of memory corruption, which could potentially be exploited to run arbitrary code. This is due to a buffer overflow in memory, allowing a remote attacker to cause a denial of service or execute arbitrary code using a specially crafted web page. **Recommendations** For Firefox versions prior to 65, update to version 65 or later. For Firefox ESR versions prior to 60.5, update to version 60.5 or later. For Thunderbird versions prior to 60.5, update to version 60.5 or later.

Name of the Vulnerable Software and Affected Versions: Firefox versions prior to 64 Description: The issue is related to memory safety bugs, including evidence of memory corruption, which could potentially be exploited to run arbitrary code. It is also described as a buffer overflow vulnerability in memory, allowing a remote attacker to access confidential data, compromise its integrity, and cause a denial of service. Recommendations: For versions prior to 64, update to version 64 or later to resolve the issue. As a temporary workaround, consider restricting access to sensitive data and minimizing browser usage until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 62 Firefox ESR versions prior to 60.2 Thunderbird versions prior to 60.2.1 **Description** The issue is caused by memory safety bugs, including evidence of memory corruption, which could potentially be exploited to run arbitrary code with enough effort. This affects various versions of Firefox, Firefox ESR, and Thunderbird. **Recommendations** For Firefox versions prior to 62, update to version 62 or later. For Firefox ESR versions prior to 60.2, update to version 60.2 or later. For Thunderbird versions prior to 60.2.1, update to version 60.2.1 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions 60 and earlier Firefox ESR versions 60 and earlier, 52.8 and earlier Thunderbird versions 60 and earlier, 52.9 and earlier **Description** The issue is caused by memory safety bugs, including buffer overflow in memory, which can lead to memory corruption. It is presumed that with sufficient effort, some of these bugs could be exploited to run arbitrary code. This can be achieved by a remote attacker using a specially crafted web page. **Recommendations** For Firefox versions 60 and earlier, update to version 61 or later. For Firefox ESR versions 60 and earlier, update to version 60.1 or later. For Firefox ESR versions 52.8 and earlier, update to version 52.9 or later. For Thunderbird versions 60 and earlier, update to version 60.1 or later. For Thunderbird versions 52.9 and earlier, update to version 52.9.1 or later. As a temporary workaround, consider restricting access to potentially vulnerable web pages until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 61 Firefox ESR versions prior to 60.1 Thunderbird versions prior to 60 **Description** The issue is related to an invalid grid size during QCMS transformations, which can result in an out-of-bounds read. This could allow a remote attacker to leak protected information by reading beyond buffer boundaries. **Recommendations** For Firefox versions prior to 61, update to version 61 or later to resolve the issue. For Firefox ESR versions prior to 60.1, update to version 60.1 or later to resolve the issue. For Thunderbird versions prior to 60, update to version 60 or later to resolve the issue.