Neal Walfield

**Nome do software vulnerável e versões afetadas: Versões do Thunderbird anteriores à 78.9.1 Descrição: O problema está relacionado à verificação incorreta das assinaturas das chaves OpenPGP. Um invasor pode criar uma chave OpenPGP manipulada, substituindo ou adicionando um ID de usuário. Se a chave manipulada for importada e aceita, o usuário pode erroneamente presumir que o ID de usuário falso pertence ao correspondente. Isso permite que um invasor remoto acesse informações protegidas. Recomendações: Para versões anteriores à 78.9.1, atualize para a versão 78.9.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Thunderbird anteriores à 78.9.1 **Descrição** O problema está relacionado à verificação insuficiente de chaves OpenPGP importadas no cliente de e-mail Thunderbird. Um invasor pode explorar isso para enviar mensagens criptografadas arbitrárias. Especificamente, se um invasor criar uma chave OpenPGP manipulada com uma subchave que tenha uma assinatura própria inválida e um usuário do Thunderbird importar essa chave, o Thunderbird pode tentar usar a subchave inválida. No entanto, a biblioteca RNP a rejeita, fazendo com que a criptografia falhe. Isso pode ser usado para realizar um ataque de Negação de Serviço (DoS), impedindo que um usuário envie e-mails criptografados. **Recomendações** Para versões do Thunderbird anteriores à 78.9.1, atualize para a versão 78.9.1 ou posterior para resolver o problema. Como solução temporária, considere evitar a importação de chaves OpenPGP não confiáveis para minimizar o risco de exploração. Restrinja o uso de chaves OpenPGP potencialmente criadas de forma maliciosa até que o problema seja resolvido.