PT-2022-7521 · Mozilla+4 · Firefox+4

Ronald Crane

·

Publicado

2022-10-10

·

Atualizado

2025-03-14

·

CVE-2022-45419

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 107
Descrição
O problema está relacionado à implementação do protocolo TLS no Firefox, especificamente a erros no procedimento de autenticação de certificados. Se um usuário adicionar uma exceção de segurança para um certificado TLS inválido, estabelecer uma conexão TLS ativa com um servidor usando esse certificado e, em seguida, excluir a exceção, o Firefox manterá a conexão ativa, fazendo parecer que o certificado ainda é confiável. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados.
Recomendações
Para versões anteriores à 107, atualize para a versão 107 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de exceções de segurança para certificados TLS inválidos até que o problema seja resolvido. Restrinja o acesso a dados confidenciais ao usar versões do Firefox anteriores à 107 para minimizar o risco de exploração.

Exploit

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALT-PU-2022-3090
ALT-PU-2022-3270
ALT-PU-2023-5754
ALT-PU-2023-6436
ALT-PU-2024-3614
BDU:2024-06947
CVE-2022-45419
OESA-2025-1265
OESA-2025-1268
OPENSUSE-SU-2024:12518-1
OPENSUSE-SU-2024:14572-1
USN-5726-1

Produtos afetados

Alt Linux
Astra Linux
Firefox
Linuxmint
Ubuntu