PT-2022-3329 · Mozilla+9 · Thunderbird+9

Nickolay Olshevsky

·

Publicado

2022-06-28

·

Atualizado

2024-06-15

·

CVE-2022-2226

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Thunderbird anteriores à 102
Versões do Thunderbird anteriores à 91.11
Descrição
O problema está relacionado à falta de correspondência entre a data de uma assinatura digital OpenPGP e a data de um e-mail. Quando um e-mail com assinatura digital é exibido, a data do e-mail é mostrada. Se as datas forem diferentes, o Thunderbird não sinaliza que o e-mail possui uma assinatura inválida. Isso poderia permitir que um invasor remoto realizasse um ataque de repetição, no qual um e-mail antigo com conteúdo antigo é reenviado posteriormente, fazendo com que a vítima acredite que as informações contidas no e-mail são atuais.
Recomendações
Para versões do Thunderbird anteriores à 102, atualize para a versão 102 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 91.11, atualize para a versão 91.11 ou posterior para resolver o problema.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-357CWE-294

Identificadores relacionados

ALSA-2022:5482
ALT-PU-2022-2515
ALT-PU-2022-2931
ALT-PU-2023-1137
ALT-PU-2023-4335
BDU:2022-04077
CESA-2022_5470
CESA-2022_5480
CVE-2022-2226
DSA-5175-1
MGASA-2022-0253
OPENSUSE-SU-2022_2320-1
OPENSUSE-SU-2022_3281-1
OPENSUSE-SU-2024:12161-1
RHSA-2022:5470
RHSA-2022:5473
RHSA-2022:5475
RHSA-2022:5478
RHSA-2022:5480
RHSA-2022:5482
RHSA-2022_5470
RHSA-2022_5480
RHSA-2022_5482
RLSA-2022:5470
SUSE-SU-2022:2320-1
SUSE-SU-2022:3281-1
USN-5512-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Thunderbird
Ubuntu