PT-2020-6748 · Mozilla+2 · Firefox+4
Xiaoyin Liu
·
Publicado
2020-08-25
·
Atualizado
2024-12-12
·
CVE-2020-15663
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 80
Versões do Thunderbird anteriores à 78.2
Versões do Thunderbird anteriores à 68.12
Versões do Firefox ESR anteriores à 68.12
Versões do Firefox ESR anteriores à 78.2
Descrição
O problema está relacionado ao Serviço de Manutenção da Mozilla, que pode executar o arquivo updater.exe com privilégios de sistema se o Firefox estiver instalado em um diretório no qual o usuário tem permissão de gravação. Embora o serviço verifique se há uma assinatura válida da Mozilla, ele não impede que a versão seja revertida para uma anterior, o que pode permitir a exploração de bugs antigos e a execução de código arbitrário com privilégios de sistema. Este problema afeta apenas sistemas operacionais Windows.
Recomendações
Para versões do Firefox anteriores à 80, atualize para a versão 80 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 78.2, atualize para a versão 78.2 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 68.12, atualize para a versão 68.12 ou posterior para resolver o problema.
Para versões do Firefox ESR anteriores à 68.12, atualize para a versão 68.12 ou posterior para resolver o problema.
Para versões do Firefox ESR anteriores à 78.2, atualize para a versão 78.2 ou posterior para resolver o problema.
Exploit
Correção
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Firefox
Firefox Esr
Suse
Thunderbird