PT-2021-4950 · Mozilla+9 · Firefox Esr+11
Takeshi Terada
·
Publicado
2021-11-02
·
Atualizado
2024-12-12
·
CVE-2021-38507
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 94
Versões do Thunderbird anteriores à 91.3
Versões do Firefox ESR anteriores à 91.3
Descrição
O problema está relacionado ao recurso de Criptografia Oportunística do HTTP2, que permite que uma conexão seja atualizada para TLS enquanto mantém as propriedades visuais de uma conexão HTTP. Um invasor de rede poderia explorar isso redirecionando uma conexão do navegador para uma porta diferente, fazendo com que o navegador trate o conteúdo como sendo da mesma origem com HTTP. Isso poderia permitir que um invasor remoto contornasse as restrições de segurança.
Recomendações
Para versões do Firefox anteriores à 94, desative o recurso de Criptografia Oportunística.
Para versões do Thunderbird anteriores à 91.3, desative o recurso de Criptografia Oportunística.
Para versões do Firefox ESR anteriores à 91.3, desative o recurso de Criptografia Oportunística.
Exploit
Correção
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Rocky Linux
Suse
Thunderbird
Ubuntu