PT-2022-4925 · Mozilla+4 · Firefox+4

Young Min Kim

·

Publicado

2022-03-08

·

Atualizado

2024-12-12

·

CVE-2022-26382

CVSS v2.0

5.0

Média

VetorAV:N/AC:L/Au:N/C:P/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 98
Descrição
O problema está relacionado às dicas de preenchimento automático (Autofill) no Firefox, nas quais o texto exibido não pode ser lido diretamente pelo JavaScript, mas é renderizado usando as fontes da página. Isso poderia levar a ataques de canal lateral utilizando fontes especialmente criadas, permitindo potencialmente que um invasor deduza o texto. A vulnerabilidade está associada à falta de proteção para dados confidenciais, o que poderia permitir que uma parte não autorizada acessasse informações protegidas.
Recomendações
Para versões anteriores à 98, atualize para a versão 98 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das dicas de preenchimento automático até que um patch seja aplicado. Evite usar fontes especialmente criadas que possam ser utilizadas em ataques de canal lateral.

Exploit

Correção

Information Disclosure

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-203

Identificadores relacionados

ALT-PU-2022-1450
ALT-PU-2022-2458
ALT-PU-2022-2929
ALT-PU-2022-2930
ALT-PU-2023-1138
ALT-PU-2023-1139
ALT-PU-2023-4336
ALT-PU-2023-4339
BDU:2022-06106
CVE-2022-26382
OESA-2023-1673
OESA-2023-1674
OPENSUSE-SU-2024:11908-1
OPENSUSE-SU-2024:14572-1
USN-5321-1
USN-5321-2
USN-5321-3

Produtos afetados

Alt Linux
Astra Linux
Firefox
Linuxmint
Ubuntu