PT-2020-3617 · Mozilla+7 · Firefox For Android+8

Alejandro Cabrera Aldaya

+6

·

Publicado

2020-06-29

·

Atualizado

2024-12-12

·

CVE-2020-12401

CVSS v3.1

4.7

Média

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 80
Versões do Firefox para Android anteriores à 80
Descrição
O problema está relacionado ao processo de geração de assinaturas ECDSA, no qual a remoção do preenchimento (padding) no nonce leva a uma execução de tempo variável que depende de dados secretos. Isso poderia permitir que um invasor obtivesse acesso não autorizado a informações protegidas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações
Para versões do Firefox anteriores à 80, atualize para a versão 80 ou posterior para resolver o problema.
Para versões do Firefox para Android anteriores à 80, atualize para a versão 80 ou posterior para resolver o problema.

Exploit

Correção

Side Channel Attack

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203CWE-327

Identificadores relacionados

ALT-PU-2020-2482
ALT-PU-2020-2706
ALT-PU-2020-2932
ALT-PU-2020-3442
ALT-PU-2021-1367
ALT-PU-2021-2725
ALT-PU-2021-2881
ALT-PU-2021-3368
ALT-PU-2021-3369
ALT-PU-2022-1781
BDU:2020-03961
CESA-2020_4076
CESA-2021_0538
CVE-2020-12401
DLA-2388-1
DLA-3327-1
MGASA-2020-0318
OPENSUSE-SU-2024:10600-1
OPENSUSE-SU-2024:11058-1
OPENSUSE-SU-2024:14572-1
RHSA-2020:4076
RHSA-2020_4076
RHSA-2021:0538
RHSA-2021_0538
RLSA-2021:0538
SUSE-RU-2021:14818-1
SUSE-RU-2021:3115-1
SUSE-RU-2021:3115-2
SUSE-RU-2021:3116-1
USN-4455-1
USN-4474-1
USN-4474-2

Produtos afetados

Alt Linux
Astra Linux
Centos
Firefox
Firefox For Android
Linuxmint
Red Hat
Rocky Linux
Ubuntu