9VSA21-00477-01 CSIRT alerta ante vulnerabilidades que afectan a Mozilla Thunderbird

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte información sobre vulnerabilidades que afectan a Mozilla Thunderbird.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2021-29969

CVE-2021-29970

CVE-2021-29976

CVE-2021-30547

Impactos

Como de riesgo alto son consideradas:

CVE-2021-29969 corresponde a un error por el cual si Thunderbird está configurado para usar STARTTLS para una conexión IMAP, y un atacante inyecta respuestas de servidor IMAP antes de completarse el “handshake” STARTTLS, Thunderbird no ignorará los datos inyectados. Esto permite que Thunderbird muestre información incorrecta, como carpetas que no existen en el servidor IMAP.

CVE-2021-29970, CVE-2021-29976 y CVE-2021-30547 ocurren por un error de uso de memoria luego de ser liberada al procesar contenido HTML. Un atacante remoto puede hacer que la víctima abra una página especialmente diseñada para detonar este error y ejecutar código arbitrario en el sistema.

Productos Afectados

Mozilla Thunderbird 78.3.1-1.el8_2 a la 78.11.0-1.el8_2.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://www.mozilla.org/en-US/security/advisories/mfsa2021-30/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29969

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29970

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29976

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30547

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00477-01.

9VSA21-00477-01 CSIRT alerta ante vulnerabilidades que afectan a Mozilla Thunderbird