Windows Thunderbird - Firefox Zafiyeti

Windows Thunderbird - Firefox Zafiyeti

27 Haziran 2023 tarihindeki zafiyet raporuna göre kötü niyetli dosya uzantılarının yerini alan dosya isminde yeni bir satır (.Ink with .download. gibi), dosya uzantısı güvenlik mekanizmalarını bypass etmek için kullanılabilir. (CVE-2023-34340)

Bu zafiyet kötü niyetli kodların çalıştırılmasına fırsat verebilir. Bu zafiyetten yalnızca Windows üzerindeki Thunderbird ve Firefox versiyonları etkilenmekte olup diğer Thunderbird ve Firefox versiyonları etkilenmemektedir. (CVE-2023-29542)

Etkilenen Sistemler

Bu zafiyet Firefox < 112, Firefox ESR < 102.10, and Thunderbird < 102.10. versiyonlarını etkilemektedir.

Configuration 1
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:*:*Up to (excluding)112.0
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:*:*Up to (excluding)102.10
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:*:*Up to (excluding) 102.10
Running on/with
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

IoC’ler

-

Çözüm Önerileri

Kullanıcıların güncelleme yaparak versiyon 2.1.1. e geçmeleri önerilmektedir.

Tedbirler

-

CVE / CWE

CVE-2023-29542

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2023-29542
• https://bugzilla.mozilla.org/show_bug.cgi?id=1810793
• https://bugzilla.mozilla.org/show_bug.cgi?id=1815062
• https://www.mozilla.org/security/advisories/mfsa2023-13/
• https://www.mozilla.org/security/advisories/mfsa2023-14/
• https://www.mozilla.org/security/advisories/mfsa2023-15/

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.