S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 novembre 2008
N° CERTA-2008-AVI-558
Affaire suivie par: CERT-FR
le 20 novembre 2008

Avis du CERT-FR

Objet: Vulnérabilités dans Mozilla Thunderbird

Gestion du document

Référence CERTA-2008-AVI-558
Titre Vulnérabilités dans Mozilla Thunderbird
Date de la première version 20 novembre 2008
Date de la dernière version 20 novembre 2008
Source(s) Changement de version Thunderbird du 19 novembre 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance ;
  • contournement de la politique de sécurité ;
  • élévation de privilèges.

Systèmes affectés

  • Mozilla Thunderbird, pour les versions antérieures à 2.0.0.18.

Résumé

Plusieurs vulnérabilités ont été identifiées dans le client de messagerie Mozilla Thunderbird. L'exploitation de ces dernières peut provoquer la divulgation de données confidentielles, un contournement de la politique de sécurité mise en place au niveau du navigateur, voire l'exécution du code arbitraire sur le système.

Description

Plusieurs vulnérabilités ont été identifiées dans le client de messagerie Mozilla Thunderbird. Certaines sont semblables à celles corrigées dans la dernière version du navigateur Mozilla Firefox. Elles sont présentées dans l'avis CERTA-2008-AVI-555 et le bulletin d'actualité CERTA-2008-ACT-046.

Une autre vulnérabilité permettrait à du code JavaScript inséré dans un courriel malveillant d'accéder à des informations confidentielles par le biais des propriétés .documentURI et .textContent.

Solution

Se référer aux bulletins de sécurité de Mozilla pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 novembre 2008
    version initiale.