Vulnerabilidad en trabajadores anidados en Thunderbird, Firefox ESR y Firefox. (CVE-2019-17008)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
08/01/2020
Última modificación:
16/01/2020
Descripción
Cuando se usan trabajadores anidados, puede ocurrir un uso de la memoria previamente liberada durante la destrucción del trabajador. Esto resultó en un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a la versión 68.3, Firefox ESR versiones anteriores a la versión 68.3 y Firefox versiones anteriores a la versión 71.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:* | 71.0 (excluyendo) | |
| cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:* | 68.3 (excluyendo) | |
| cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:* | 68.3 (excluyendo) | |
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00000.html
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00001.html
- https://access.redhat.com/errata/RHSA-2020:0292
- https://access.redhat.com/errata/RHSA-2020:0295
- https://bugzilla.mozilla.org/show_bug.cgi?id=1546331
- https://security.gentoo.org/glsa/202003-02
- https://security.gentoo.org/glsa/202003-10
- https://usn.ubuntu.com/4241-1/
- https://usn.ubuntu.com/4335-1/
- https://www.mozilla.org/security/advisories/mfsa2019-36/
- https://www.mozilla.org/security/advisories/mfsa2019-37/
- https://www.mozilla.org/security/advisories/mfsa2019-38/