PT-2024-3493 · Mozilla+10 · Thunderbird+12
Bartek Nowotarski
·
Publicado
2024-04-04
·
Atualizado
2025-03-14
·
CVE-2024-3302
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 125
Versões do Firefox ESR anteriores à 115.10
Versões do Thunderbird anteriores à 115.10
Descrição
O problema está relacionado à implementação do protocolo HTTP/2 nos navegadores afetados, onde não havia limite para o número de quadros HTTP/2 CONTINUATION que seriam processados. Um servidor poderia se aproveitar disso para criar uma condição de falta de memória no navegador. Isso poderia permitir que um invasor remoto causasse uma negação de serviço.
Recomendações
Para versões do Firefox anteriores à 125, atualize para a versão 125 ou posterior para resolver o problema.
Para versões do Firefox ESR anteriores à 115.10, atualize para a versão 115.10 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 115.10, atualize para a versão 115.10 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso a quadros HTTP/2 CONTINUATION até que um patch esteja disponível.
Exploit
Correção
Resource Exhaustion
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Firefox
Firefox Esr
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Thunderbird
Ubuntu