PT-2022-7524 · Mozilla+8 · Thunderbird+8

Sarah Jamie Lewis

·

Publicado

2022-11-30

·

Atualizado

2024-06-15

·

CVE-2022-45414

CVSS v2.0

9.4

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Thunderbird anteriores à 102.5.1
Descrição
O problema está relacionado ao tratamento de e-mails em HTML no Thunderbird. Quando um usuário cita um e-mail em HTML, por exemplo, ao respondê-lo, e o e-mail contém certas tags como VIDEO com o atributo POSTER ou OBJECT com um atributo DATA, é realizada uma solicitação de rede para a URL remota referenciada. Isso ocorre independentemente da configuração para bloquear conteúdo remoto. Uma imagem carregada a partir do atributo POSTER é exibida na janela de composição. Isso poderia dar a um invasor capacidades adicionais.
Recomendações
Para versões anteriores à 102.5.1, atualize para a versão 102.5.1 ou posterior para resolver o problema. Como solução temporária, considere evitar citar e-mails em HTML que contenham tags VIDEO ou OBJECT até que a atualização seja aplicada. Restrinja o acesso a conteúdo remoto nas configurações do cliente de e-mail para minimizar o risco de exploração.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

ALSA-2022:9074
ALSA-2022:9080
ALT-PU-2022-3279
ALT-PU-2022-3335
ALT-PU-2023-1137
ALT-PU-2023-4335
BDU:2024-06950
CESA-2022_9074
CVE-2022-45414
DSA-5303-1
MGASA-2022-0452
OPENSUSE-SU-2022_4334-1
OPENSUSE-SU-2024:12544-1
RHSA-2022:9074
RHSA-2022:9075
RHSA-2022:9076
RHSA-2022:9077
RHSA-2022:9078
RHSA-2022:9079
RHSA-2022:9080
RHSA-2022:9081
RHSA-2022_9074
RHSA-2022_9079
RHSA-2022_9080
SUSE-SU-2022:4334-1
SUSE-SU-2022_4334-1
USN-5824-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Suse
Thunderbird
Ubuntu