Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité ;
- élévation de privilèges.
Systèmes affectés
- Mozilla Thunderbird, pour les versions antérieures à 2.0.0.18.
Résumé
Plusieurs vulnérabilités ont été identifiées dans le client de messagerie Mozilla Thunderbird. L'exploitation de ces dernières peut provoquer la divulgation de données confidentielles, un contournement de la politique de sécurité mise en place au niveau du navigateur, voire l'exécution du code arbitraire sur le système.
Description
Plusieurs vulnérabilités ont été identifiées dans le client de messagerie Mozilla Thunderbird. Certaines sont semblables à celles corrigées dans la dernière version du navigateur Mozilla Firefox. Elles sont présentées dans l'avis CERTA-2008-AVI-555 et le bulletin d'actualité CERTA-2008-ACT-046.
Une autre vulnérabilité permettrait à du code JavaScript inséré dans un courriel malveillant d'accéder à des informations confidentielles par le biais des propriétés .documentURI et .textContent.
Solution
Se référer aux bulletins de sécurité de Mozilla pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Document du CERTA CERTA-2008-AVI-555 du 12 novembre 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-555/index.html
- Bulletin d'actualité CERTA CERTA-2008-ACT-046 du 14 novembre 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-046.pdf
- Bulletin de sécurité de la fondation Mozilla 2008/mfsa2008-48 du 12 novembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-48.html
- Bulletin de sécurité de la fondation Mozilla 2008/mfsa2008-50 du 12 novembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-50.html
- Bulletin de sécurité de la fondation Mozilla 2008/mfsa2008-52 du 12 novembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-52.html
- Bulletin de sécurité de la fondation Mozilla 2008/mfsa2008-55 du 12 novembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-55.html
- Bulletin de sécurité de la fondation Mozilla 2008/mfsa2008-56 du 12 novembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-56.html
- Bulletin de sécurité de la fondation Mozilla 2008/mfsa2008-58 du 12 novembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-58.html
- Bulletin de sécurité de la fondation Mozilla 2008/mfsa2008-59 du 19 novembre 2008 :
http://www.mozilla.org/security/announce/2008/mfsa2008-59.html