Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta vulnerabilità critica 0-day in Mozilla Thunderbird 60.7.2

Mozilla  remote code execution  Thunderbird   lunedì, 1 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante due vulnerabilità, di cui una critica, nella versione 60 del client di posta elettronica Thunderbird.

La prima vulnerabilità (CVE-2019-11707), considerata critica, è legata ad un problema di tipo type confusion che si verifica in Array.pop durante la manipolazione di oggetti JavaScript. Se sfruttata con successo, questa vulnerabilità potrebbe consentire ad un attaccante remoto di causare causare il crash dell’applicazione con conseguente esecuzione di codice arbitrario. Mozilla è al corrente che questa vulnerabilità viene al momento sfruttata in-the-wild in attacchi mirati.

La seconda vulnerabilità (CVE-2019-11708), di gravità elevata, è legata ad una validazione insufficiente dei parametri passati da un processo figlio al processo padre tramite il messaggio IPC Prompt:Open. Se sfruttata con successo, la vulnerabilità consente ad un processo figlio compromesso di far sì che il processo padre, non ristretto nella sandbox, apra un contenuto Web scelto dall’attaccante, con conseguente potenziale esecuzione di codice arbitrario sulla macchina dell’utente.

Per risolvere queste vulnerabilità è necessario aggiornare Thunderbird alla versione 60.7.2.

Per maggiori informazioni è possibile consultare il seguente avviso di sicurezza di Mozilla (in Inglese):

Notizie correlate

Vulnerabilità critiche in VMware vRealize Operations for Horizon Adapter

20 febbraio 2020

VMware ha rilasciato un avviso di sicurezza relativo a vulnerabilità multiple, di cui diverse critiche, nel prodotto vRealize Operations for Horizon Adapter per Windows.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe After Effects e Adobe Media Encoder

20 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza critici per After Effects e Media Encoder. Questi aggiornamenti risolvono due vulnerabilità che possono causare l’esecuzione di codice arbitrario.Leggi tutto

Aggiornamento di sicurezza per Mozilla Thunderbird 68

13 febbraio 2020

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui una di gravità elevata, nella versione 68 del client di posta elettronica Thunderbird.Leggi tutto