TLP:CLEAR   PAP:WHITE 
Aviso de seguridad de la Fundación Mozilla 2023-21

Descripción
Vulnerabilidades de seguridad corregidas en Thunderbird 102.12. En general, estas fallas no se pueden explotar a través del correo electrónico en el producto Thunderbird porque las secuencias de comandos están deshabilitadas cuando se lee el correo, pero son riesgos potenciales en el navegador o en contextos similares a los de un navegador.

CVE-2023-34414 [alta]: Excepciones del certificado de secuestro de clics a través del retraso de procesamiento.
A la página de error de los sitios con certificados TLS no válidos le faltaba el retardo de activación que utiliza Thunderbird para proteger los avisos y los cuadros de diálogo de permisos de los ataques que aprovechan los retrasos en el tiempo de respuesta humano. Si una página maliciosa provocó que el usuario hiciera clic en ubicaciones precisas inmediatamente antes de navegar a un sitio con un error de certificado y, al mismo tiempo, hizo que el renderizador estuviera extremadamente ocupado, podría crear una brecha entre el momento en que se cargó la página de error y el momento en que se actualizó la pantalla. Con el momento adecuado, los clics obtenidos podrían aterrizar en ese espacio y activar el botón que anula el error de certificado para ese sitio.

CVE-2023-34416 [alta]: errores de seguridad de la memoria corregidos en Thunderbird 102.12.
Informaron errores de seguridad de memoria presentes en Thunderbird 102.11. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario.
Productos afectados
Thunderbird 102.11
Riesgo
Alto
Soluciones
Se recomienda actualizar el producto a Thunderbird 102.12.
Referencias
Publicación oficial
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es