PT-2021-7423 · Mozilla+5 · Thunderbird+5

Kai Engert

·

Publicado

2021-12-21

·

Atualizado

2024-06-15

·

CVE-2021-4126

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Thunderbird anteriores à 91.4.1
Descrição
O problema está relacionado à forma como o Thunderbird lida com mensagens de e-mail assinadas por OpenPGP/MIME que possuem camadas externas adicionais de MIME. Anteriormente, o Thunderbird considerava apenas a mensagem interna assinada para verificar a validade da assinatura, dando a falsa impressão de que os conteúdos adicionais também estavam cobertos pela assinatura digital. Isso poderia permitir que um invasor remoto realizasse um ataque de spoofing devido à falta de aviso adequado sobre ações perigosas.
Recomendações
Para versões do Thunderbird anteriores à 91.4.1, atualize para a versão 91.4.1 ou posterior para garantir que apenas a assinatura pertencente à parte MIME de nível superior seja considerada para o status exibido, evitando assim a falsa impressão de que conteúdos adicionais estão cobertos pela assinatura digital.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-357

Identificadores relacionados

ALT-PU-2021-3584
ALT-PU-2021-3625
ALT-PU-2021-3638
ALT-PU-2022-1783
BDU:2022-06100
CVE-2021-4126
DLA-2874-1
DSA-5034-1
MGASA-2021-0584
OPENSUSE-SU-2022:0058-1
OPENSUSE-SU-2022_0058-1
OPENSUSE-SU-2024:11698-1
SUSE-SU-2022:0058-1
USN-5246-1
USN-5248-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Suse
Thunderbird
Ubuntu