PT-2024-9959 · Mozilla+4 · Thunderbird+5

Serban Stanca

·

Publicado

2024-11-25

·

Atualizado

2025-11-19

·

CVE-2024-11708

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas:
Versões do Firefox anteriores à 133
Versões do Thunderbird anteriores à 133
Descrição:
O problema está relacionado à falta de primitivas de sincronização de threads, o que poderia levar a uma corrida de dados nos membros da estrutura PlaybackParams. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. A vulnerabilidade está associada a erros de sincronização ao usar um recurso compartilhado, também conhecida como “condição de corrida”.
Recomendações:
Para versões do Firefox anteriores à 133, atualize para a versão 133 ou posterior para resolver o problema.
Para versões do Thunderbird anteriores à 133, atualize para a versão 133 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à estrutura PlaybackParams até que um patch esteja disponível.

Correção

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362

Identificadores relacionados

ALT-PU-2024-16375
ALT-PU-2025-11100
ALT-PU-2025-14599
ALT-PU-2025-2230
ALT-PU-2025-5137
ALT-PU-2025-7695
BDU:2025-00071
CVE-2024-11708
OPENSUSE-SU-2024:14583-1
USN-7134-1

Produtos afetados

Alt Linux
Astra Linux
Firefox
Linuxmint
Thunderbird
Ubuntu