Sintesi

Mozilla ha rilasciato aggiornamenti di sicurezza per sanare una vulnerabilità con gravità “alta” in Thunderbird. Nel dettaglio, il campo “oggetto” crittografato di un messaggio di posta elettronica potrebbe essere assegnato erroneamente a un altro messaggio presente nella cache locale di Thunderbird. Di conseguenza, azioni di risposta o inoltro eseguite sul messaggio contaminato potrebbero comportare la divulgazione di informazioni sensibili.

Tipologia

• Information Leakage
• Security Restrictions Bypass

Prodotti e versioni affette

Mozilla Thunderbird, versioni precedenti alla 115.8.1

Azioni di mitigazione

Si raccomanda di aggiornare i prodotti interessati seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

In linea con le dichiarazioni del vendor, si evidenzia che nonostante l’aplicazione della patch, quest’ultima non risolve automaticamente eventuali contaminazioni preesistenti. In tal senso, si raccomanda di seguire le mitigazioni fornite da Mozilla per risolvere tali contaminazioni.

Identificatori univoci vulnerabilità

CVE-2024-1936

Riferimenti

https://www.mozilla.org/en-US/security/advisories/mfsa2024-11/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.