Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Mozilla Thunderbird 3.0
Résumé
De multiples vulnérabilités dans Mozilla Thunderbird permettent l'exécution de code arbitraire à distance.
Description
De multiples vulnérabilités ont été découvertes dans Mozilla Thunderbird :
- plusieurs problèmes de stabilité affectent le moteur de rendu. Certains mènent à une corruption de la mémoire et permettent l'exécution de code arbitraire à distance ;
- des failles dans la bibliothèque liboggplay permettent l'exécution de code arbitraire à distance ;
- une vulnérabilité de type débordement d'entier dans la bibliothèque libtheora permet l'exécution de code arbitraire à distance. Un autre problème dans cette bibliothèque peut être exploité pour provoquer un déni de service à distance.
Il est à noté que ces vulnérabilités avaient déjà été corrigées dans Mozilla Thunderbird 3.5.6 et Mozilla SeaMonkey 2.0.1 (voir l'avis CERTA-2009-AVI-547).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Mozilla 2009/MFSA2009-65 :
http://www.mozilla.org/security/announce/2009/mfsa2009-65.html
- Bulletin de sécurité de la fondation Mozilla 2009/MFSA2009-66 :
http://www.mozilla.org/security/announce/2009/mfsa2009-66.html
- Bulletin de sécurité de la fondation Mozilla 2009/MFSA2009-67 :
http://www.mozilla.org/security/announce/2009/mfsa2009-67.html
- Référence CVE CVE-2009-3388 :
https://www.cve.org/CVERecord?id=CVE-2009-3388
- Référence CVE CVE-2009-3389 :
https://www.cve.org/CVERecord?id=CVE-2009-3389
- Référence CVE CVE-2009-3379 :
https://www.cve.org/CVERecord?id=CVE-2009-3379
- Référence CVE CVE-2009-3380 :
https://www.cve.org/CVERecord?id=CVE-2009-3380
- Référence CVE CVE-2009-3381 :
https://www.cve.org/CVERecord?id=CVE-2009-3381
- Référence CVE CVE-2009-3382 :
https://www.cve.org/CVERecord?id=CVE-2009-3382