PT-2020-19228 · Apple+3 · Macos X+5

Vladimir Metnew

·

Publicado

2020-02-12

·

Atualizado

2024-12-12

·

CVE-2020-6797

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Thunderbird anteriores à 68.5
Versões do Firefox anteriores à 73
Versões do Firefox ESR anteriores à 68.5
Descrição
Uma extensão com privilégios limitados pode iniciar um aplicativo arbitrário no computador do usuário baixando um arquivo com a extensão .fileloc. No entanto, a capacidade do invasor de explorar essa vulnerabilidade é limitada, pois ele não pode baixar arquivos que não estejam em quarentena nem fornecer argumentos de linha de comando ao aplicativo. Essa vulnerabilidade afeta apenas o Mac OSX; outros sistemas operacionais não são afetados.
Recomendações
Para versões do Thunderbird anteriores à 68.5, atualize para a versão 68.5 ou posterior.
Para versões do Firefox anteriores à 73, atualize para a versão 73 ou posterior.
Para versões do Firefox ESR anteriores à 68.5, atualize para a versão 68.5 ou posterior.
Como solução alternativa temporária, considere restringir o manuseio de arquivos .fileloc para minimizar o risco de exploração.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2020-1182
ALT-PU-2020-1186
ALT-PU-2020-1237
ALT-PU-2020-1399
ALT-PU-2020-1515
CVE-2020-6797
OPENSUSE-SU-2020:0230-1
OPENSUSE-SU-2020:0231-1
OPENSUSE-SU-2020_0230-1
OPENSUSE-SU-2020_0231-1
OPENSUSE-SU-2024:10600-1
OPENSUSE-SU-2024:10601-1
OPENSUSE-SU-2024:14572-1
SUSE-SU-2020:0383-1
SUSE-SU-2020:0384-1
SUSE-SU-2020:0385-1
SUSE-SU-2020:14290-1

Produtos afetados

Alt Linux
Firefox
Firefox Esr
Macos X
Suse
Thunderbird