PT-2021-2750 · Mozilla+7 · Thunderbird+7

Kai Engert

+1

·

Publicado

2021-04-19

·

Atualizado

2024-06-15

·

CVE-2021-29948

CVSS v2.0

6.0

Média

VetorAV:L/AC:H/Au:S/C:C/I:C/A:C
**Nome do software vulnerável e versões afetadas:
Versões do Thunderbird anteriores à 78.10
Descrição:
O problema é causado por um erro de sincronização ao usar um recurso compartilhado, que pode estar sujeito a uma condição de corrida quando um processo local malicioso ou um usuário está substituindo um arquivo. Isso poderia permitir que um invasor remoto contornasse as restrições de segurança existentes. As assinaturas são gravadas no disco antes e lidas durante a verificação, o que pode ser explorado.
Recomendações:
Para versões anteriores à 78.10, atualize para a versão 78.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao sistema de arquivos para minimizar o risco de exploração. Evite usar recursos compartilhados até que o problema seja resolvido.

Exploit

Correção

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362

Identificadores relacionados

ALT-PU-2021-1804
ALT-PU-2021-1886
ALT-PU-2021-1892
BDU:2021-02286
CESA-2021_1353
CVE-2021-29948
DLA-2632-1
DSA-4897-1
MGASA-2021-0198
OPENSUSE-SU-2021:0644-1
OPENSUSE-SU-2021_0644-1
OPENSUSE-SU-2024:10601-1
RHSA-2021:1350
RHSA-2021:1351
RHSA-2021:1352
RHSA-2021:1353
RHSA-2021_1350
RHSA-2021_1353
SUSE-SU-2021:1432-1
USN-4995-1
USN-4995-2

Produtos afetados

Alt Linux
Astra Linux
Centos
Linuxmint
Red Hat
Suse
Thunderbird
Ubuntu