PT-2024-5897 · Mozilla+10 · Firefox+10
D7
·
Publicado
2024-09-03
·
Atualizado
2025-07-10
·
CVE-2024-8383
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Firefox anteriores à 130
Versões do Firefox ESR anteriores à 128.2
Versões do Firefox ESR anteriores à 115.15
Descrição
O problema está relacionado ao tratamento dado pelo navegador a determinados esquemas, especificamente os esquemas relacionados à Usenet “news:” e “snews:”. Normalmente, o Firefox solicita confirmação antes de abrir esses esquemas, mas, neste caso, isso não ocorreu. Isso poderia permitir que um programa mal-intencionado se registrasse como um manipulador e fosse iniciado por um site à vontade. O número estimado de dispositivos potencialmente afetados não foi especificado.
Recomendações
Para versões do Firefox anteriores à 130, atualize para a versão 130 ou posterior.
Para versões do Firefox ESR anteriores à 128.2, atualize para a versão 128.2 ou posterior.
Para versões do Firefox ESR anteriores à 115.15, atualize para a versão 115.15 ou posterior.
Como solução temporária, considere desativar o tratamento dos esquemas “news:” e “snews:” até que um patch esteja disponível. Restrinja o acesso a manipuladores de esquemas de URL personalizados para minimizar o risco de exploração. Evite usar leitores de notícias não confiáveis ou aplicativos que possam se registrar como manipuladores para esses esquemas.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Firefox
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu