PT-2022-6126 · Mozilla+10 · Thunderbird+12

Nika Layzell

·

Publicado

2022-12-13

·

Atualizado

2024-12-12

·

CVE-2022-46872

CVSS v3.1

8.6

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 108
Versões do Firefox ESR anteriores à 102.6
Versões do Thunderbird anteriores à 102.6
Descrição
O problema está relacionado à proteção insuficiente de dados internos, permitindo que um invasor que comprometeu um processo de conteúdo escape parcialmente da sandbox e leia arquivos arbitrários por meio de mensagens IPC relacionadas à área de transferência. Isso poderia permitir que um invasor remoto contornasse restrições de segurança e obtivesse acesso não autorizado a informações protegidas enviando mensagens IPC especialmente criadas.
Recomendações
Para versões do Firefox anteriores à 108, atualize para a versão 108 ou posterior.
Para versões do Firefox ESR anteriores à 102.6, atualize para a versão 102.6 ou posterior.
Para versões do Thunderbird anteriores à 102.6, atualize para a versão 102.6 ou posterior.
Como solução temporária, considere restringir o acesso a mensagens IPC relacionadas à área de transferência até que um patch esteja disponível.

Exploit

Correção

Out of bounds Read

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125CWE-265CWE-200

Identificadores relacionados

ALSA-2022:9065
ALSA-2022:9067
ALSA-2022:9074
ALSA-2022:9080
ALT-PU-2022-3341
ALT-PU-2022-3354
ALT-PU-2022-3356
ALT-PU-2022-3401
ALT-PU-2022-3407
ALT-PU-2023-1043
ALT-PU-2023-1137
ALT-PU-2023-1138
ALT-PU-2023-4335
ALT-PU-2023-4336
ALT-PU-2023-5754
ALT-PU-2024-3614
BDU:2023-00074
CESA-2022_9067
CESA-2022_9074
CVE-2022-46872
DLA-3241-1
DLA-3242-1
DSA-5301-1
DSA-5303-1
MGASA-2022-0475
MGASA-2022-0476
OPENSUSE-SU-2022_4462-1
OPENSUSE-SU-2022_4579-1
OPENSUSE-SU-2024:12568-1
OPENSUSE-SU-2024:12571-1
OPENSUSE-SU-2024:12577-1
OPENSUSE-SU-2024:14572-1
RHSA-2022:9065
RHSA-2022:9066
RHSA-2022:9067
RHSA-2022:9068
RHSA-2022:9069
RHSA-2022:9070
RHSA-2022:9071
RHSA-2022:9072
RHSA-2022:9074
RHSA-2022:9075
RHSA-2022:9076
RHSA-2022:9077
RHSA-2022:9078
RHSA-2022:9079
RHSA-2022:9080
RHSA-2022:9081
RHSA-2022_9065
RHSA-2022_9067
RHSA-2022_9072
RHSA-2022_9074
RHSA-2022_9079
RHSA-2022_9080
RLSA-2022:9067
SUSE-SU-2022:4460-1
SUSE-SU-2022:4461-1
SUSE-SU-2022:4462-1
SUSE-SU-2022:4579-1
SUSE-SU-2022_4460-1
SUSE-SU-2022_4461-1
SUSE-SU-2022_4462-1
SUSE-SU-2022_4579-1
USN-5782-1
USN-5782-2
USN-5782-3
USN-5824-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Ubuntu