TLP:WHITE 
Mozilla: 7 vulnerabilidades en Thunderbird

Descripción
Mozilla ha publicado un aviso de seguridad en el que describe 7 vulnerabilidades que existen en las versiones anteriores a la 102.6 de Firefox ESR, de las cuales 4 son altas y 3 son medias. --- CVE-2022-46880 (alta): Use-after-free en WebGL. Un control faltante relacionado con las unidades tex podría haber llevado a un bloqueo de uso después de libre y potencialmente explotable. --- CVE-2022-46872 (alta): archivo arbitrario leído de un proceso de contenido comprometido. Un atacante que comprometió un proceso de contenido podría haber escapado parcialmente de la zona de pruebas para leer archivos arbitrarios a través de mensajes IPC relacionados con el portapapeles. Este error solo afecta a Thunderbird para Linux. --- CVE-2022-46881 (alta): Corrupción de memoria en WebGL. Una optimización en WebGL fue incorrecta en algunos casos y podría haber provocado daños en la memoria y un bloqueo potencialmente explotable. --- CVE-2022-46874 (media): Los nombres de archivo de arrastrar y soltar podrían haberse truncado a extensiones maliciosas. Un archivo con un nombre de archivo largo podría haber tenido su nombre de archivo truncado para eliminar la extensión válida, dejando una extensión maliciosa en su lugar. Esto podría generar confusión en el usuario y la ejecución de código malicioso. --- CVE-2022-46875 (media): Los archivos .atloc y .ftploc omitieron las protecciones de descarga en Mac OS. La advertencia de archivo ejecutable no se presentó al descargar archivos .atloc y .ftploc, que pueden ejecutar comandos en la computadora de un usuario. Este problema solo afectó a los sistemas operativos Mac OS. --- CVE-2022-46882 (media): Use-after-free en WebGL. Un uso posterior a la liberación en las extensiones WebGL podría haber provocado un bloqueo potencialmente explotable. --- CVE-2022-46878 (alta): errores de seguridad de la memoria corregidos en Thunderbird 102.6. Los desarrolladores de Mozilla, Randell Jesup, Valentin Gosu, Olli Pettay y Mozilla Fuzzing Team informaron errores de seguridad de memoria presentes en Thunderbird 102.5. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario.
Productos afectados
Thunderbird
Riesgo
Alto
Soluciones
Se recomienda actualizar a la versión Thunderbird 102.6 o superior.
Referencias
Publicación oficial
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es