• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidades en Thunderbird

19/06/2019

=============================================
CVE-2019-11703, CVE-2019-11704, CVE-2019-11705 y CVE-2019-11706
Fecha de lanzamiento: 15/06/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Mozilla Foundation ha publicado el boletín de seguridad MFSA2019-17 que solventa 4 fallos en su popular cliente de correo, Thunderbird. Tres de estas vulnerabilidades han sido clasificadas de gravedad alta.

INFORMACIÓN

Mozilla Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla.

DESCRIPCIÓN

Las vulnerabilidades, presentes en la implementación de iCal, son las siguientes:

* CVE-2019-11703: un desbordamiento de memoria en la función ‘parser_get_next_char’ localizada en el fichero ‘icalparser.c’ al procesar un calendario adjunto podría permitir la ejecución de código remoto.

* CVE-2019-11704: una falta de comprobación de límites en la función ‘icalmemory_strdup_and_dequote’ en ‘icalvalue.c’ cuando la cadena de entrada finaliza con el carácter ‘\’ podría provocar la lectura y escritura fuera de límites de la memoria, de referencia a puntero nulo, y corrupción de la memoria. La explotación exitosa de este fallo de seguridad podría permitir la ejecución de código remoto.

* CVE-2019-11705: una validación incorrecta en la función ‘icalrecuradd_bydayrules’ localizada en ‘icalrecur.c’ podría permitir la ejecución de código remoto.

* CVE-2019-11706: una confusión de tipos en la función ‘icaltimezone_get_vtimezone_properties’ en ‘icalproperty.c’ al analizar un archivo adjunto de calendario con formato incorrecto podría ser aprovechada para revelar información sensible.

SISTEMAS AFECTADOS

Versiones anteriores a Thunderbird 60.7.1

SOLUCIÓN

Thunderbird 60.7.1 que corrige todas las vulnerabilidades expuestas, está disponible para su descarga desde la página oficial.

FUENTE

https://hispasec.com/es/