Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Mozilla Thunderbird 1.0.6 et versions antérieures.
Résumé
Une vulnérabilité dans Mozilla Thunderbird permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
Un manque de contrôle dans l'analyse des paramètres passés à Mozilla Thunderbird en ligne de commande permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'une adresse réticulaire (URL) malicieusement construite présente dans une application externe.
Remarque : Cette vulnérabilité n'est exploitable que sur des systèmes de type Unix et GNU/Linux.
Solution
Appliquer la mise à jour de sécurité Mozilla Thunderbird 1.0.7 corrigeant cette vulnérabilité (cf. section Documentation).
Documentation
- Bulletin de sécurité Mandriva MDKSA-2005:174 du 06 octobre 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:174
- Bulletin de sécurité Slackware : http://slackware.com/security/viewer.php?l=slackware-security&y=2005&m=slackware-security.392811 http://salckware.com/security/viewer.php?l=slackware-security&y=2005&m=slackware-security.392811
- Mise à jour de securité de Mozilla Thunderbird 1.0.7 : http://www.mozilla.org/products/thunderbird/releases/1.0.7-release-notes.html#download
- Mise à jour de sécurité Fedora Core 3: http://download.fedora.com/pub/fedora/linux/core/updates/3
- Mise à jour de sécurité Fedora Core 4: http://download.fedora.com/pub/fedora/linux/core/updates/4
- Site Internet de l'éditeur : http://www.mozilla.org/products/thunderbird/
