PT-2022-3322 · Mozilla+5 · Firefox+5

Jannis

·

Publicado

2022-06-28

·

Atualizado

2024-12-12

·

CVE-2022-34477

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Mozilla Firefox anteriores à 102
Descrição
O problema está relacionado à proteção insuficiente dos dados internos na propriedade de mensagem MediaError do Mozilla Firefox. Isso poderia permitir que um invasor remoto executasse código arbitrário. O problema surge porque a propriedade de mensagem MediaError pode vazar informações sobre recursos de origem cruzada, possibilitando potencialmente ataques XS-Leaks para recursos de origem cruzada do mesmo site.
Recomendações
Para versões anteriores à 102, atualize para a versão 102 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a recursos confidenciais para minimizar o risco de ataques XS-Leaks até que a atualização seja aplicada.

Exploit

Correção

Information Disclosure

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-203

Identificadores relacionados

ALT-PU-2022-2151
ALT-PU-2022-2458
ALT-PU-2022-2929
ALT-PU-2022-2930
ALT-PU-2023-1138
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-04070
CVE-2022-34477
OESA-2023-1673
OESA-2023-1674
OPENSUSE-SU-2022_3396-1
OPENSUSE-SU-2024:12184-1
OPENSUSE-SU-2024:14572-1
SUSE-SU-2022:3272-1
SUSE-SU-2022:3273-1
SUSE-SU-2022:3396-1
USN-5504-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Firefox
Suse
Ubuntu