Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre vulnerabilidades que afectan a Mozilla Thunderbird.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2021-29969
CVE-2021-29970
CVE-2021-29976
CVE-2021-30547
Impactos
Como de riesgo alto son consideradas:
CVE-2021-29969 corresponde a un error por el cual si Thunderbird está configurado para usar STARTTLS para una conexión IMAP, y un atacante inyecta respuestas de servidor IMAP antes de completarse el “handshake” STARTTLS, Thunderbird no ignorará los datos inyectados. Esto permite que Thunderbird muestre información incorrecta, como carpetas que no existen en el servidor IMAP.
CVE-2021-29970, CVE-2021-29976 y CVE-2021-30547 ocurren por un error de uso de memoria luego de ser liberada al procesar contenido HTML. Un atacante remoto puede hacer que la víctima abra una página especialmente diseñada para detonar este error y ejecutar código arbitrario en el sistema.
Productos Afectados
Mozilla Thunderbird 78.3.1-1.el8_2 a la 78.11.0-1.el8_2.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2021-30/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29969
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29970
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29976
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30547
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00477-01.