PT-2022-3819 · Mozilla+9 · Thunderbird+9

Johannes König

·

Publicado

2022-04-05

·

Atualizado

2022-12-29

·

CVE-2022-1197

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Thunderbird anteriores à 91.8
Descrição
O problema está relacionado a erros na atualização da assinatura digital OpenPGP, o que pode permitir que um invasor remoto realize um ataque de spoofing. Especificamente, ao importar uma chave revogada que especificava o comprometimento da chave como motivo da revogação, o Thunderbird não atualizou a cópia existente da chave, mantendo-a como não revogada.
Recomendações
Para versões anteriores à 91.8, atualize para a versão 91.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de assinaturas digitais OpenPGP até que um patch esteja disponível. Evite importar chaves revogadas que especifiquem comprometimento da chave como motivo da revogação nas versões afetadas.

Exploit

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-254CWE-295

Identificadores relacionados

ALSA-2022:1301
ALT-PU-2022-1941
ALT-PU-2022-1951
ALT-PU-2022-1983
ALT-PU-2022-2053
BDU:2022-04617
CESA-2022_1301
CVE-2022-1197
DLA-2978-1
DSA-5118-1
MGASA-2022-0157
OPENSUSE-SU-2022_1176-1
RHSA-2022:1301
RHSA-2022:1302
RHSA-2022:1303
RHSA-2022:1305
RHSA-2022:1326
RHSA-2022_1301
RHSA-2022_1302
RLSA-2022:1301
SUSE-SU-2022:1176-1
USN-5393-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Thunderbird
Ubuntu