Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta vulnerabilità critica 0-day in Mozilla Thunderbird 60.7.2

Mozilla  remote code execution  Thunderbird   lunedì, 1 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante due vulnerabilità, di cui una critica, nella versione 60 del client di posta elettronica Thunderbird.

La prima vulnerabilità (CVE-2019-11707), considerata critica, è legata ad un problema di tipo type confusion che si verifica in Array.pop durante la manipolazione di oggetti JavaScript. Se sfruttata con successo, questa vulnerabilità potrebbe consentire ad un attaccante remoto di causare causare il crash dell’applicazione con conseguente esecuzione di codice arbitrario. Mozilla è al corrente che questa vulnerabilità viene al momento sfruttata in-the-wild in attacchi mirati.

La seconda vulnerabilità (CVE-2019-11708), di gravità elevata, è legata ad una validazione insufficiente dei parametri passati da un processo figlio al processo padre tramite il messaggio IPC Prompt:Open. Se sfruttata con successo, la vulnerabilità consente ad un processo figlio compromesso di far sì che il processo padre, non ristretto nella sandbox, apra un contenuto Web scelto dall’attaccante, con conseguente potenziale esecuzione di codice arbitrario sulla macchina dell’utente.

Per risolvere queste vulnerabilità è necessario aggiornare Thunderbird alla versione 60.7.2.

Per maggiori informazioni è possibile consultare il seguente avviso di sicurezza di Mozilla (in Inglese):

Notizie correlate

Aggiornamento di sicurezza per Mozilla Firefox 69

20 settembre 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante una vulnerabilità di media gravità nella versione 69 del browser Web Firefox.Leggi tutto

Risolte gravi vulnerabilità in Mozilla Thunderbird 60.8 e 68.1

16 settembre 2019

Mozilla ha rilasciato due avvisi di sicurezza riguardanti diverse vulnerabilità, di cui sei di gravità elevata, nelle versioni 60 e 68 del client di posta elettronica Thunderbird.Leggi tutto

Aggiornamenti di sicurezza per Adobe Flash Player e Adobe Application Manager

11 settembre 2019

Adobe ha rilasciato aggiornamenti di sicurezza per Flash Player e per l'installer di Adobe Application Manager. Leggi tutto