Múltiplas vulnerabilidades no Mozilla Thunderbird

Descrição

Múltiplas vulnerabilidades sérias foram encontradas no Thunderbird. Usuários mal-intencionados podem explorar essas vulnerabilidades para causar uma negação de serviço, ignorar restrições de segurança executar código arbitrário, obter informações confidenciais e falsificar a interface do usuário.

Abaixo está uma lista completa de vulnerabilidades:

1. Uma vulnerabilidade de uso depois de livre em WebSockets pode ser explorada remotamente para causar negação de serviço;
2. Uma vulnerabilidade de uso após liberação relacionada ao layout de recálculo de um elemento de marca durante o redimensionamento de janela pode ser explorada remotamente para causar negação de serviço;
3. Uma vulnerabilidade de uso após a liberação relacionada à remoção prematura de um nó DOM do editor durante a passagem da árvore pode ser explorada remotamente para causar negação de serviço;
4. Uma vulnerabilidade de uso após liberação relacionada à leitura de um observador de imagens durante a reconstrução de quadros pode ser explorada remotamente para causar negação de serviço;
5. Uma vulnerabilidade de uso após liberação relacionada à manipulação do DOM durante o evento de redimensionamento de um elemento de imagem pode ser explorada remotamente para causar negação de serviço;
6. Uma vulnerabilidade de estouro de buffer em ARIA (Accessible Rich Internet Applications) pode ser explorada remotamente para causar negação de serviço;
7. Uma vulnerabilidade de estouro de buffer relacionada ao renderizador de imagem que tenta pintar elementos SVG não exibíveis pode ser explorada remotamente para causar negação de serviço;
8. Uma vulnerabilidade de leitura fora dos limites depois de aplicar regras de estilo a pseudoelementos pode ser explorada possivelmente para causar negação de serviço ou para obter informações confidenciais;
9. Proteções inadequadas de políticas em páginas com iframes incorporados podem ser exploradas remotamente para obter informações confidenciais;
10. Um incorreto servindo os arquivos de um sub-caminho no domínio no mecanismo AppCache pode ser explorado remotamente para contornar as restrições de segurança;
11. Uma vulnerabilidade de estouro de buffer relacionada à exibição de um certificado no gerenciador de certificados pode ser explorada remotamente para causar negação de serviço;
12. Várias vulnerabilidades no WindowsDllDetourPatcher podem ser exploradas remotamente para contornar restrições de segurança;
13. Uma vulnerabilidade desconhecida no protocolo data: pode ser explorada remotamente, criando uma renderização de alerta modal por meio de domínios arbitrários após a navegação da página para falsificar a interface do usuário;
14. Uma aplicação incorreta da política de segurança de conteúdo (CSP) pode ser explorada com um impacto desconhecido;
15. Múltiplas vulnerabilidades de corrupção de memória no Mozilla Thunderbird 52.2 podem ser exploradas remotamente para executar código arbitrário.

---

Detalhes técnicos

Vulnerabilidade (12) afeta os sistemas operacionais Windows. Outros sistemas operacionais não são afetados.

NB: Essas vulnerabilidades não têm nenhuma classificação CVSS pública, portanto, a classificação pode ser alterada no momento.

NB: Neste momento, a Mozilla apenas reservou números CVE para essas vulnerabilidades. As informações podem ser alteradas em breve.

Comunicados originais

• Mozilla Security Bulletin

Lista de CVE

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com