Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Mozilla Thunderbird 3.0
Résumé
De multiples vulnérabilités dans Mozilla Thunderbird permettent l'exécution de code arbitraire à distance.
Description
De multiples vulnérabilités ont été découvertes dans Mozilla Thunderbird :
- plusieurs problèmes de stabilité affectent le moteur de rendu. Certains mènent à une corruption de la mémoire et permettent l'exécution de code arbitraire à distance ;
- des failles dans la bibliothèque liboggplay permettent l'exécution de code arbitraire à distance ;
- une vulnérabilité de type débordement d'entier dans la bibliothèque libtheora permet l'exécution de code arbitraire à distance. Un autre problème dans cette bibliothèque peut être exploité pour provoquer un déni de service à distance.
Il est à noté que ces vulnérabilités avaient déjà été corrigées dans Mozilla Thunderbird 3.5.6 et Mozilla SeaMonkey 2.0.1 (voir l'avis CERTA-2009-AVI-547).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de la fondation Mozilla 2009/MFSA2009-65 : http://www.mozilla.org/security/announce/2009/mfsa2009-65.html
- Bulletin de sécurité de la fondation Mozilla 2009/MFSA2009-66 : http://www.mozilla.org/security/announce/2009/mfsa2009-66.html
- Bulletin de sécurité de la fondation Mozilla 2009/MFSA2009-67 : http://www.mozilla.org/security/announce/2009/mfsa2009-67.html
- Référence CVE CVE-2009-3379 https://www.cve.org/CVERecord?id=CVE-2009-3379
- Référence CVE CVE-2009-3380 https://www.cve.org/CVERecord?id=CVE-2009-3380
- Référence CVE CVE-2009-3381 https://www.cve.org/CVERecord?id=CVE-2009-3381
- Référence CVE CVE-2009-3382 https://www.cve.org/CVERecord?id=CVE-2009-3382
- Référence CVE CVE-2009-3388 https://www.cve.org/CVERecord?id=CVE-2009-3388
- Référence CVE CVE-2009-3389 https://www.cve.org/CVERecord?id=CVE-2009-3389
