PT-2022-3290 · Mozilla+3 · Thunderbird+5
Gijs
·
Publicado
2022-06-28
·
Atualizado
2024-12-12
·
CVE-2022-34478
CVSS v2.0
7.6
Alta
| Vetor | AV:N/AC:H/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Mozilla Firefox anteriores à 102
Versões do Mozilla Firefox ESR anteriores à 91.11
Versões do Thunderbird anteriores à 102
Versões do Thunderbird anteriores à 91.11
Descrição
O problema está relacionado à implementação de protocolos que entregam conteúdo a aplicativos da Microsoft, contornando o navegador. Esses protocolos, incluindo
ms-msdt, search e search-ms, podem ser explorados por um invasor para executar código arbitrário. A vulnerabilidade está associada a erros no tratamento da autorização para esquemas de URL personalizados. Observa-se que essas aplicações já tiveram vulnerabilidades conhecidas exploradas em ambiente real. Este problema afeta apenas o Thunderbird no Windows, não afetando outros sistemas operacionais.Recomendações
Para versões do Mozilla Firefox anteriores à 102, atualize para a versão 102 ou posterior.
Para versões do Mozilla Firefox ESR anteriores à 91.11, atualize para a versão 91.11 ou posterior.
Para versões do Thunderbird anteriores à 102, atualize para a versão 102 ou posterior.
Para versões do Thunderbird anteriores à 91.11, atualize para a versão 91.11 ou posterior.
Como solução temporária, considere bloquear os protocolos
ms-msdt, search e search-ms para que não solicitem ao usuário que os abra.Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Firefox
Firefox Esr
Suse
Thunderbird