PT-2022-3336 · Mozilla+5 · Firefox+5

Rob Wu

·

Publicado

2022-06-28

·

Atualizado

2024-12-12

·

CVE-2022-34471

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 102
Descrição
O problema está relacionado a erros na verificação de atualizações baixadas, o que poderia permitir que um invasor remoto fizesse o downgrade da versão do navegador durante uma atualização. Especificamente, ao baixar uma atualização para um complemento, não era verificado se a versão da atualização baixada correspondia à versão selecionada no manifesto. Se o manifesto tivesse sido adulterado no servidor, um invasor poderia induzir o navegador a fazer o downgrade do complemento para uma versão anterior.
Recomendações
Para versões anteriores à 102, atualize para a versão 102 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a manifestos potencialmente adulterados para minimizar o risco de exploração.

Exploit

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345

Identificadores relacionados

ALT-PU-2022-2151
ALT-PU-2022-2458
ALT-PU-2022-2929
ALT-PU-2022-2930
ALT-PU-2023-1138
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-04084
CVE-2022-34471
OESA-2023-1673
OESA-2023-1674
OPENSUSE-SU-2022_3396-1
OPENSUSE-SU-2024:12184-1
OPENSUSE-SU-2024:14572-1
SUSE-SU-2022:3272-1
SUSE-SU-2022:3273-1
SUSE-SU-2022:3396-1
USN-5504-1

Produtos afetados

Alt Linux
Astra Linux
Firefox
Linuxmint
Suse
Ubuntu