PT-2022-1403 · Mozilla+10 · Thunderbird+12

Tavis Ormandy

·

Publicado

2022-01-11

·

Atualizado

2025-06-06

·

CVE-2022-22747

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Firefox ESR anteriores à 91.5
Versões do Firefox anteriores à 96
Versões do Thunderbird anteriores à 91.5
Descrição
O problema está relacionado ao tratamento incorreto de uma sequência pkcs7 vazia nos dados do certificado. Isso pode levar a uma falha ao lidar com um certificado não confiável, permitindo potencialmente que um invasor remoto cause uma condição de negação de serviço (DoS) ao enviar um certificado especialmente criado. Acredita-se que essa falha não seja explorável para ataques mais graves.
Recomendações
Para versões do Firefox ESR anteriores à 91.5, atualize para a versão 91.5 ou posterior.
Para versões do Firefox anteriores à 96, atualize para a versão 96 ou posterior.
Para versões do Thunderbird anteriores à 91.5, atualize para a versão 91.5 ou posterior.

Exploit

Correção

RCE

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-295

Identificadores relacionados

ALSA-2022:0129
ALSA-2022:0130
ALT-PU-2022-1022
ALT-PU-2022-1023
ALT-PU-2022-1053
ALT-PU-2022-1078
ALT-PU-2022-1090
ALT-PU-2022-1091
ALT-PU-2022-1097
ALT-PU-2022-1781
ALT-PU-2022-1783
ALT-PU-2022-2458
ALT-PU-2022-2929
ALT-PU-2022-2930
ALT-PU-2023-1138
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-00298
CESA-2022_0124
CESA-2022_0127
CESA-2022_0129
CESA-2022_0130
CVE-2022-22747
DLA-2880-1
DLA-2881-1
DLA-2898-1
DSA-5044-1
DSA-5045-1
DSA-5062-1
MGASA-2022-0013
MGASA-2022-0019
OESA-2023-1673
OESA-2023-1674
OESA-2025-1549
OESA-2025-1582
OESA-2025-1583
OPENSUSE-SU-2022:0136-1
OPENSUSE-SU-2022:0199-1
OPENSUSE-SU-2022_0136-1
OPENSUSE-SU-2022_0199-1
OPENSUSE-SU-2024:11732-1
OPENSUSE-SU-2024:11733-1
OPENSUSE-SU-2024:14572-1
RHSA-2022:0123
RHSA-2022:0124
RHSA-2022:0125
RHSA-2022:0126
RHSA-2022:0127
RHSA-2022:0128
RHSA-2022:0129
RHSA-2022:0130
RHSA-2022:0131
RHSA-2022:0132
RHSA-2022_0124
RHSA-2022_0127
RHSA-2022_0129
RHSA-2022_0130
RLSA-2022:0129
RLSA-2022:0130
SUSE-SU-2022:0115-1
SUSE-SU-2022:0136-1
SUSE-SU-2022:0137-1
SUSE-SU-2022:0199-1
SUSE-SU-2022:14880-1
USN-5229-1
USN-5246-1
USN-5248-1
USN-5506-1
USN-5872-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Ubuntu