PT-2024-5756 · Mozilla+7 · Firefox Esr+8
Lars Eggert
·
Publicado
2024-08-06
·
Atualizado
2025-08-12
·
CVE-2024-7531
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 129
Versões do Firefox ESR anteriores à 115.14
Versões do Firefox ESR anteriores à 128.1
Descrição
O problema está relacionado a um estouro de buffer no conjunto de fontes CKM CHACHA20 dos navegadores Mozilla Firefox e Firefox ESR. Isso pode ser explorado por um invasor remoto para acessar informações protegidas ao chamar a função
PK11 Encrypt(). No Firefox, essa vulnerabilidade afeta o recurso de proteção de cabeçalho QUIC ao usar o conjunto de criptografia ChaCha20-Poly1305, podendo levar à falha na conexão ou permitir que um observador de rede identifique pacotes da mesma origem, apesar de alterações no caminho de rede.Recomendações
Para versões do Firefox anteriores à 129, atualize para a versão 129 ou posterior para resolver o problema.
Para versões do Firefox ESR anteriores à 115.14, atualize para a versão 115.14 ou posterior para resolver o problema.
Para versões do Firefox ESR anteriores à 128.1, atualize para a versão 128.1 ou posterior para resolver o problema.
Como solução temporária, considere evitar o uso do conjunto de criptografia ChaCha20-Poly1305 em conexões QUIC até que um patch seja aplicado.
Correção
Missing Encryption of Sensitive Data
Time Of Check To Time Of Use
Heap Based Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Firefox
Firefox Esr
Linuxmint
Red Os
Suse
Ubuntu