ASA-2019-00387 – Mozilla: Sandbox escape usando Prompt:open


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00387

Identificador(es)

ASA-2019-00387, CVE-2019-11708, MFSA2019-19, MFSA2019-20

Título

Sandbox escape usando Prompt:open

Fabricante(s)

Mozilla

Produto(s)

Mozilla Firefox
Mozilla Firefox ESR
Mozilla Thunderbird

Versão(ões) afetada(s)

Mozilla Firefox versões anteriores a 67.0.4
Mozilla Firefox ESR versões anteriores a 60.7.2
Mozilla Thunderbird versões anteriores a 60.7.2

Versão(ões) corrigida(s)

Mozilla Firefox versão 67.0.4
Mozilla Firefox ESR versão 60.7.2
Mozilla Thunderbird versão 60.7.2

Prova de conceito

Desconhecido

Descrição

A verificação insuficiente de parâmetros passados com a mensagem Prompt:Open IPC entre processos filhos e pai pode resultar no processo pai fora da sandbox abrir o conteúdo da web escolhido por um processo filho comprometido. Quando combinado com vulnerabilidades adicionais, isso pode resultar na execução de código arbitrário no computador do usuário.

Detalhes técnicos

Desconhecido

Créditos

Coinbase Security

Referência(s)

Security vulnerabilities fixed in Firefox 67.0.4 and Firefox ESR 60.7.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/#CVE-2019-11708

Security vulnerabilities fixed in Thunderbird 60.7.2 — Mozilla
https://www.mozilla.org/en-US/security/advisories/mfsa2019-20/#CVE-2019-11708

Bug 1559858
https://bugzilla.mozilla.org/show_bug.cgi?id=1559858

CVE-2019-11708
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11708

CVE-2019-11708
https://nvd.nist.gov/vuln/detail/CVE-2019-11708

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 julho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.