Gravedad: Alta
Vulnerabilidad: CVE-2020-6819 / CVE-2020-6820 / CVE-2020-6821 /
CVE-2020-6822 / CVE-2020-6825
Fecha de publicación: Abril 21, 2020
Última revisión: Abril 21, 2020
Portal: https://www.mozilla.org/en-US/security/advisories/mfsa2020-14/
Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a todas las versiones de Mozilla Thunderbird entre la 60.0 hasta la 60.9.1 y desde la 68.0 hasta la 68.6.
I. Descripción
Actualización de Mozilla Thunderbird referente a múltiples vulnerabilidades que afectan a sus productos, versiones corregidas 68.7 de Mozilla Thunderbird.
II. Impacto
Vulnerabilidad: CVE-2020-6819
Debido a un error en memoria causado por una condición de carrera ejecutando el destructor “nsDocShell”, un atacante remoto podría crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite y enviar el error de uso de memoria luego de ser liberada, logrando la ejecución de código arbitrario en el sistema y comprometiéndole.
Vulnerabilidad: CVE-2020-6820
Debido a un error en memoria causado por una condición de carrera al manejar “ReadableStream”, un atacante remoto podría crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite y enviar el error de uso de memoria luego de ser liberada, logrando la ejecución de código arbitrario en el sistema y comprometiéndole.
Vulnerabilidad: CVE-2020-6821
Debido a un error en memoria al utilizar el método WebGL “copyTextSubImage”, un atacante remoto podría engañar a una víctima para que acceda a un sitio especialmente diseñado, enviar el error de lectura fuera de los límites de la memoria y leer contenidos de sin inicializar en el sistema afectado.
Vulnerabilidad: CVE-2020-6822
Debido a un error en memoria en “GMPDecodeData” al procesar imágenes más grandes que 4Gb en arquitecturas 32-bit, un atacante remoto podría crear una imagen especialmente diseñada, engañar a una víctima para que la abra y enviar el error de escritura fuera de los límites de la memoria, logrando ejecutar código arbitrario y permitiéndole comprometer al sistema afectado.
Vulnerabilidad: CVE-2020-6825
Debido a un error en memoria al procesar contenido HTML, un atacante remoto podría engañar a una víctima para que acceda a un sitio especialmente diseñado, enviar el error de corrupción de memoria y ejecutar código arbitrario, comprometiendo al sistema vulnerable.
III. Referencia a soluciones, herramientas e información
Actualizar a la versión 68.7 de Mozilla Thunderbird, mediante su sitio web (https://www.thunderbird.net/en-US/thunderbird/releases/)
Fuentes:
- Mozilla Oficial. Recopilado en: https://www.mozilla.org/en-US/security/advisories/mfsa2020-14/
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6819
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6820
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6821
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6822
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6825
- CSIRT Chile. 13 de abril del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00184-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124