La Fundación Mozilla publicó aviso de seguridad 2019-17, donde solventa 4 fallos en su popular cliente de correo, Thunderbird. Tres de estas vulnerabilidades han sido clasificadas de gravedad alta.
Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla.
Las vulnerabilidades presentadas son las siguientes:
• CVE-2019-11703: un desbordamiento de memoria en la función ‘parser_get_next_char’ localizada en el fichero ‘icalparser.c’ al procesar un calendario adjunto podría permitir la ejecución de código remoto. (CVE-2019-11703: Heap buffer overflow in icalparser.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11703)
• CVE-2019-11704: una falta de comprobación de límites en la función ‘icalmemory_strdup_and_dequote’en ‘icalvalue.c’ cuando la cadena de entrada finaliza con el carácter ‘\’ podría provocar la lectura y escritura fuera de límites de la memoria, de referencia a puntero nulo, y corrupción de la memoria. La explotación exitosa de este fallo de seguridad podría permitir la ejecución de código remoto. (CVE-2019-11704: Heap buffer overflow in icalvalue.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11704)
• CVE-2019-11705: una validación incorrecta en la función ‘icalrecuradd_bydayrules’ localizada en ‘icalrecur.c’ podría permitir la ejecución de código remoto. (CVE-2019-11705: Stack buffer overflow in icalrecur.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11705)
• CVE-2019-11706: una confusión de tipos en la función ‘icaltimezone_get_vtimezone_properties’ en ‘icalproperty.c’ al analizar un archivo adjunto de calendario con formato incorrecto podría ser aprovechada para revelar información sensible. (CVE-2019-11706: Type confusion in icalproperty.c
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11706)
Todas las vulnerabilidades expuestas, se corrigen mediante el Thunderbird 60.7.1, que está disponible para su descarga desde la página oficial (https://www.thunderbird.net/en-US/thunderbird/60.7.1/releasenotes/).
Estos fallos de seguridad han sido reportados por Luis Merino de X41 D-SEC, quien además ha proporcionado pruebas de concepto para cada uno de ellos en GitHub.
Información detallada:
• Advisory X41-2019-001: Heap-based buffer overflow in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-001-thunderbird/
• Advisory X41-2019-002: Heap-based buffer overflow in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-002-thunderbird/
• Advisory X41-2019-003: Stack-based buffer overflow in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-003-thunderbird/
• Advisory X41-2019-004: Type confusion in Thunderbird
https://www.x41-dsec.de/lab/advisories/x41-2019-004-thunderbird/
Fuentes:
- Mozilla Foundation Security Advisory 2019-17. Mozilla Foundation. 2019. Recopilado en: https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/#CVE-2019-11703
- Vulnerabilidades en Thunderbird. una al día, Hispasec. 15 de junio, 2019. Recopilado en: https://unaaldia.hispasec.com/2019/06/vulnerabilidades-en-thunderbird.html