Kaie

**Nome do software vulnerável e versões afetadas** Versões do Thunderbird 78.8.1 a 78.10.1 **Descrição** O problema está relacionado ao armazenamento de chaves secretas OpenPGP de forma não criptografada no disco local do usuário, o que poderia permitir que um invasor acessasse informações confidenciais. A proteção por senha mestra estava desativada para as chaves importadas. **Recomendações** Para as versões 78.8.1 a 78.10.1 do Thunderbird, atualize para a versão 78.10.2 ou posterior para restaurar o mecanismo de proteção para chaves recém-importadas e para proteger automaticamente as chaves que foram importadas usando as versões afetadas do Thunderbird.

**Nome do software vulnerável e versões afetadas** Mozilla (versões afetadas não especificadas) **Descrição** Uma falha no código de certificados incorporados do Mozilla pode permitir que sites instalem certificados raiz em dispositivos sem a aprovação do usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do Thunderbird anteriores à 78.10 Descrição: O problema é causado por um erro de sincronização ao usar um recurso compartilhado, que pode estar sujeito a uma condição de corrida quando um processo local malicioso ou um usuário está substituindo um arquivo. Isso poderia permitir que um invasor remoto contornasse as restrições de segurança existentes. As assinaturas são gravadas no disco antes e lidas durante a verificação, o que pode ser explorado. Recomendações: Para versões anteriores à 78.10, atualize para a versão 78.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao sistema de arquivos para minimizar o risco de exploração. Evite usar recursos compartilhados até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Mozilla Network Security Services (affected versions not specified) **Description** A Null pointer dereference issue exists due to a missing NULL check in `PK11 SignWithSymKey` / `ssl3 ComputeRecordMACConstantTime`, which could let a remote malicious user cause a Denial of Service. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.