Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolta vulnerabilità critica 0-day in Mozilla Thunderbird 60.7.2

Mozilla  remote code execution  Thunderbird   lunedì, 1 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante due vulnerabilità, di cui una critica, nella versione 60 del client di posta elettronica Thunderbird.

La prima vulnerabilità (CVE-2019-11707), considerata critica, è legata ad un problema di tipo type confusion che si verifica in Array.pop durante la manipolazione di oggetti JavaScript. Se sfruttata con successo, questa vulnerabilità potrebbe consentire ad un attaccante remoto di causare causare il crash dell’applicazione con conseguente esecuzione di codice arbitrario. Mozilla è al corrente che questa vulnerabilità viene al momento sfruttata in-the-wild in attacchi mirati.

La seconda vulnerabilità (CVE-2019-11708), di gravità elevata, è legata ad una validazione insufficiente dei parametri passati da un processo figlio al processo padre tramite il messaggio IPC Prompt:Open. Se sfruttata con successo, la vulnerabilità consente ad un processo figlio compromesso di far sì che il processo padre, non ristretto nella sandbox, apra un contenuto Web scelto dall’attaccante, con conseguente potenziale esecuzione di codice arbitrario sulla macchina dell’utente.

Per risolvere queste vulnerabilità è necessario aggiornare Thunderbird alla versione 60.7.2.

Per maggiori informazioni è possibile consultare il seguente avviso di sicurezza di Mozilla (in Inglese):

Notizie correlate

Vulnerabilità critica in Palo Alto Firewall PAN-OS

22 luglio 2019

È stata scoperta una vulnerabilità critica di tipo esecuzione di codice da remoto nei moduli GlobalProtect del sistema operativo PAN-OS che equipaggia i firewall Palo Alto Networks.Leggi tutto

Risolte vulnerabilità critiche in Mozilla Thunderbird 60.8

12 luglio 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui una critica e altre quattro di gravità elevata, nella versione 60 del client di posta elettronica Thunderbird.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (luglio 2019)

11 luglio 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto