PT-2021-2595 · Mozilla+7 · Thunderbird+7

Cure53

+1

·

Publicado

2021-01-26

·

Atualizado

2024-06-15

·

CVE-2021-23991

CVSS v3.1

6.8

Média

VetorAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Thunderbird anteriores à 78.9.1
Descrição
O problema está relacionado à verificação incorreta de assinaturas criptográficas OpenPGP no Thunderbird. Se um usuário tiver importado anteriormente a chave OpenPGP de alguém e o proprietário da chave tiver estendido o período de validade da chave, mas a chave atualizada não tiver sido importada, um invasor pode enviar um e-mail com uma versão manipulada da chave contendo uma subchave inválida. Isso poderia fazer com que o Thunderbird tentasse usar a subchave inválida, resultando na falha no envio de e-mails criptografados para o proprietário da chave.
Recomendações
Para versões do Thunderbird anteriores à 78.9.1, atualize para a versão 78.9.1 ou posterior para resolver o problema.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-310

Identificadores relacionados

ALT-PU-2021-1804
ALT-PU-2021-1886
ALT-PU-2021-1892
BDU:2021-02077
CESA-2021_1192
CESA-2021_1193
CVE-2021-23991
DLA-2632-1
DSA-4897-1
MGASA-2021-0189
OPENSUSE-SU-2021:0580-1
OPENSUSE-SU-2021_0580-1
OPENSUSE-SU-2024:10601-1
RHSA-2021:1190
RHSA-2021:1192
RHSA-2021:1193
RHSA-2021:1201
RHSA-2021_1192
RHSA-2021_1193
SUSE-SU-2021:1167-1
USN-4995-1
USN-4995-2

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Red Hat
Suse
Thunderbird
Ubuntu