PT-2022-3337 · Mozilla+5 · Firefox+5

Ronald Crane

·

Publicado

2022-06-28

·

Atualizado

2024-12-12

·

CVE-2022-34480

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Mozilla Firefox anteriores à 102
Descrição
O problema está relacionado a uma referência a um ponteiro nulo. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário. Dentro da função lg init(), se várias alocações forem bem-sucedidas, mas uma falhar, um ponteiro não inicializado seria liberado, apesar de nunca ter sido alocado.
Recomendações
Para versões anteriores à 102, atualize para uma versão que contenha uma correção para este problema, a fim de evitar a exploração. Como solução temporária, considere restringir o acesso à função lg init() até que um patch esteja disponível.

Exploit

Correção

Access of Uninitialized Pointer

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-824CWE-476

Identificadores relacionados

ALT-PU-2022-2151
ALT-PU-2022-2458
ALT-PU-2022-2929
ALT-PU-2022-2930
ALT-PU-2023-1138
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-04085
CVE-2022-34480
OESA-2023-1673
OESA-2023-1674
OPENSUSE-SU-2022_3396-1
OPENSUSE-SU-2024:12184-1
OPENSUSE-SU-2024:14572-1
SUSE-SU-2022:3272-1
SUSE-SU-2022:3273-1
SUSE-SU-2022:3396-1
USN-5504-1
USN-5506-1
USN-5872-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Firefox
Suse
Ubuntu