Mozilla résout un problème critique d’exécution du code dans le client de messagerie. Ce bug a été corrigé dans le cadre d’une mise à jour de sécurité plus large.
Mozilla résout une vulnérabilité critique dans le client de messagerie Thunderbird. Cette vulnérabilité pouvait conduire à l’exécution de code par des attaquants dans l’application. La faille de sécurité, CVE-2018-12376, utilise un problème de corruption de la mémoire qui, “avec suffisamment d’efforts”, pouvait être exploité afin d’exécuter du code, selon l’avis de sécurité de Mozilla.
La résolution de cette vulnérabilité fait partie de la mise à jour de la version 60.2.1 de Thunderbird, qui s’est également attaquée à deux bugs à haut risque, trois vulnérabilités présentant un risque modéré et une faille de sécurité de bas niveau.
La première vulnérabilité à haut risque, CVE-2018-12377, est un bug que l’on trouve dans la mise à jour des pilotes de Thunderbird. Elle peut bloquer le client de messagerie et permettre son exploitation. La seconde vulnérabilité résolue dans la mise à jour est CVE-2018-12378, un autre bug qui se produit quand “un index IndexedDB est supprimé alors qu’il est encore utilisé par un code JavaScript qui fournit les valeurs de charge utile à stocker”. Cela aussi peut entraîner un crash exploitable.
Trois vulnérabilités modérées, CVE-2018-12379, CVE-2017-16541 et CVE-2018-12385 ont également été corrigées.
La première est un problème d’écriture hors limites causé par l’ouverture de fichiers MAR malveillants conduisant à un crash de Thunderbird. La seconde est un problème de contournement de proxy présent dans les fonctions de montage automatique. La troisième vulnérabilité est un problème de cache de données présent dans TransportSecurityInfo. Il peut permettre de déclencher un crash de démarrage pour les utilisateurs Thunderbird qui passent de la version Nightly à la version Release de Firefox lorsque le même profil est utilisé.
Peu de risques pour les utilisateurs classiques
Le dernier problème résolu dans cette mise à jour est CVE-2018-12383, un bug à faible risque qui peut, dans certains contextes, exposer des copies non chiffrées des mots de passe.
“Si un utilisateur a sauvegardé des mots de passe avant Firefox 58 et a ensuite défini un mot de passe maître, une copie non chiffrée de ces mots de passe est toujours accessible” explique Mozilla. “C’est parce que l’ancien fichier de mots de passe stocké n’a pas été supprimé lorsque les données ont été copiées dans un nouveau format à partir de Firefox 58. Le nouveau mot de passe maître n’est ajouté que sur le nouveau fichier. Cela pourrait permettre l’exposition des données de mot de passe stockés.”
Mozilla note que de manière générale les utilisateurs de Thunderbird ne seront probablement pas affectés par ces vulnérabilités car les scripts sont désactivés lors de la lecture du courrier ; cependant, il y a toujours un certain danger par rapport aux contextes du navigateur.
Par conséquent, les utilisateurs de Thunderbird devraient envisager de mettre à jour leurs logiciels immédiatement.
