PT-2021-3710 · Mozilla+4 · Firefox+4

Peter Gerber

·

Publicado

2021-07-13

·

Atualizado

2024-12-12

·

CVE-2021-29974

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do Mozilla Firefox anteriores à 90
Descrição
O problema está relacionado à implementação do mecanismo HSTS (HTTP Strict Transport Security) no Mozilla Firefox, que apresenta falhas no controle de acesso. A exploração desse problema pode permitir que um invasor remoto contorne os mecanismos de proteção. Quando o particionamento de rede está habilitado, como por meio das configurações de Proteção Avançada contra Rastreamento, uma página de erro TLS permitiria ao usuário ignorar um erro em um domínio que tivesse especificado HSTS, o que não deveria ser possível. No entanto, esse problema não afeta as conexões de rede, pois elas são atualizadas corretamente para HTTPS automaticamente.
Recomendações
Para versões anteriores à 90, atualize para a versão 90 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere desativar as configurações de Proteção Avançada contra Rastreamento para minimizar o risco de exploração. Restrinja o acesso a páginas de erro TLS para impedir que os usuários ignorem erros HSTS em domínios que especifiquem esse recurso de segurança.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-264

Identificadores relacionados

ALT-PU-2021-2261
ALT-PU-2021-2725
ALT-PU-2021-2881
ALT-PU-2021-3368
ALT-PU-2021-3369
ALT-PU-2022-1781
ALT-PU-2022-1782
BDU:2021-03950
CVE-2021-29974
OESA-2023-1673
OESA-2023-1674
OPENSUSE-SU-2024:10600-1
OPENSUSE-SU-2024:14572-1
USN-5011-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Firefox
Ubuntu