{"id":2035,"date":"2020-04-22T14:34:55","date_gmt":"2020-04-22T19:34:55","guid":{"rendered":"https:\/\/cert.pa\/?p=2035"},"modified":"2020-04-22T14:35:28","modified_gmt":"2020-04-22T19:35:28","slug":"csirt-panama-aviso-2020-04-22-thunderbird-multiples-vulnerabilidades-criticas-que-afectan-a-mozilla-thunderbird","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2035","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2020-04-22 Thunderbird: M\u00faltiples vulnerabilidades cr\u00edticas que afectan a Mozilla Thunderbird"},"content":{"rendered":"\n

Gravedad: Alta                                                                                                          \nVulnerabilidad: CVE-2020-6819 \/ CVE-2020-6820 \/ CVE-2020-6821 \/\nCVE-2020-6822 \/ CVE-2020-6825
\nFecha de publicaci\u00f3n: Abril 21, 2020
\n\u00daltima revisi\u00f3n: Abril 21, 2020
\nPortal: https:\/\/www.mozilla.org\/en-US\/security\/advisories\/mfsa2020-14\/<\/p>\n\n\n\n

Sistemas Afectados:<\/strong>
Vulnerabilidades de seguridad que afectan a todas las versiones de Mozilla Thunderbird entre la 60.0 hasta la 60.9.1 y desde la 68.0 hasta la 68.6. <\/p>\n\n\n\n

I. Descripci\u00f3n<\/strong>
Actualizaci\u00f3n de Mozilla Thunderbird referente a m\u00faltiples vulnerabilidades que afectan a sus productos, versiones corregidas 68.7 de Mozilla Thunderbird.<\/p>\n\n\n\n

II. Impacto<\/strong>
<\/p>\n\n\n\n

Vulnerabilidad:<\/strong> CVE-2020-6819<\/p>\n\n\n\n

Debido a un error en memoria causado por una condici\u00f3n de carrera\nejecutando el destructor \u201cnsDocShell\u201d, un atacante remoto podr\u00eda crear un sitio\nweb especialmente dise\u00f1ado, enga\u00f1ar a la v\u00edctima para que lo visite y enviar el\nerror de uso de memoria luego de ser liberada, logrando la ejecuci\u00f3n de c\u00f3digo\narbitrario en el sistema y comprometi\u00e9ndole.<\/p>\n\n\n\n

Vulnerabilidad:<\/strong> CVE-2020-6820<\/p>\n\n\n\n

Debido a un error en memoria causado por una condici\u00f3n de carrera al\nmanejar \u201cReadableStream\u201d, un atacante remoto podr\u00eda crear un sitio web\nespecialmente dise\u00f1ado, enga\u00f1ar a la v\u00edctima para que lo visite y enviar el\nerror de uso de memoria luego de ser liberada, logrando la ejecuci\u00f3n de c\u00f3digo arbitrario\nen el sistema y comprometi\u00e9ndole.<\/p>\n\n\n\n

Vulnerabilidad:<\/strong> CVE-2020-6821<\/p>\n\n\n\n

Debido a un error en memoria al utilizar el m\u00e9todo WebGL \u201ccopyTextSubImage\u201d,\nun atacante remoto podr\u00eda enga\u00f1ar a una v\u00edctima para que acceda a un sitio especialmente\ndise\u00f1ado, enviar el error de lectura fuera de los l\u00edmites de la memoria y leer\ncontenidos de sin inicializar en el sistema afectado.<\/p>\n\n\n\n

Vulnerabilidad:<\/strong> CVE-2020-6822<\/p>\n\n\n\n

Debido a un error en memoria en \u201cGMPDecodeData\u201d al procesar im\u00e1genes m\u00e1s\ngrandes que 4Gb en arquitecturas 32-bit, un atacante remoto podr\u00eda crear una\nimagen especialmente dise\u00f1ada, enga\u00f1ar a una v\u00edctima para que la abra y enviar\nel error de escritura fuera de los l\u00edmites de la memoria, logrando ejecutar\nc\u00f3digo arbitrario y permiti\u00e9ndole comprometer al sistema afectado.<\/p>\n\n\n\n

Vulnerabilidad:<\/strong> CVE-2020-6825<\/p>\n\n\n\n

Debido a un error en memoria al procesar contenido HTML, un atacante\nremoto podr\u00eda enga\u00f1ar a una v\u00edctima para que acceda a un sitio especialmente\ndise\u00f1ado, enviar el error de corrupci\u00f3n de memoria y ejecutar c\u00f3digo\narbitrario, comprometiendo al sistema vulnerable.<\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e informaci\u00f3n<\/strong>
<\/p>\n\n\n\n

Actualizar a la versi\u00f3n 68.7 de Mozilla Thunderbird, mediante su sitio\nweb (https:\/\/www.thunderbird.net\/en-US\/thunderbird\/releases\/<\/a>)<\/p>\n\n\n\n

Fuentes:<\/strong> <\/p>\n\n\n\n