Mozilla corrige 4 vulnérabilités dans Thunderbird

Le 13 juin, l'équipe de développement de Mozilla a publié un bulletin de sécurité corrigeant 4 vulnérabilités dont 3 sont considérées comme importantes et 1 considérée comme faible. Un attaquant pourrait exploiter les vulnérabilités considérées importantes afin d’exécuter du code arbitraire à distance. La vulnérabilité de faible criticité permet d’effectuer un déni de service sur Mozilla Thunderbird. Ces attaques seraient simples à mettre en œuvre et ne nécessiteraient aucun niveau d'authentification. L'impact estimé sur la confidentialité et l'intégrité des données est élevé.

Thunderbird est un client de messagerie libre distribué par la fondation Mozilla. Ce logiciel partage une partie du code source du navigateur Firefox.

Les vulnérabilités sont issues d’une mauvaise implémentation du standard d’échange de calendrier iCalendar (aussi abrégé iCal). Il permet aux utilisateurs d'envoyer des demandes de rendez-vous et de les transmettre à d'autres utilisateurs via e-mail.

Détails techniques :

Les 3 vulnérabilités suivantes permettraient à un attaquant d'exécuter de code arbitraire à distance :

• CVE-2019-11703 [Score CVSSv3 : 9.8] : La vulnérabilité est due à un dépassement de tampon sur le tas suite à une mauvaise implémentation de la fonction parser_get_next_char dans icalparser.c. Un attaquant distant pourrait envoyer un email spécialement conçu afin de déclencher un dépassement de tampon et exécuter du code arbitraire sur le système cible. L'exploitation réussie de cette vulnérabilité pourrait entraîner une compromission complète du système vulnérable.
• CVE-2019-11704 [Score CVSSv3 : 9.8] : La vulnérabilité est due à un dépassement de tampon sur le tas permis par une mauvaise implémentation de la fonction icalmemory_strdup_and_dequote dans icalparser.c. Un attaquant distant pourrait envoyer un email spécialement conçu, déclencher un dépassement de tampon et exécuter du code arbitraire sur le système cible. L'exploitation réussie de cette vulnérabilité pourrait entraîner une compromission complète du système vulnérable.
• CVE-2019-11705 [Score CVSSv3 : 9.8] : La vulnérabilité est due à un dépassement de tampon sur la pile  suite àune mauvaise implémentation de la fonction icalrecur_add_bydayrules dans icalrecur.c. Un attaquant distant non authentifié pourrait créer un email spécialement conçu, déclencher un dépassement de tampon de pile et exécuter du code arbitraire dans le système cible. L'exploitation réussie de cette vulnérabilité pourrait entraîner une compromission complète du système vulnérable.

Cette vulnérabilité permettrait d’effectuer un déni de service.

• CVE-2019-11706 [Score CVSSv3 : 7.5] : La vulnérabilité est due à la possibilité d’effectuer une confusion de type dans l'implémentation de la fonction icaltimezone_get_vtimezone_properties dans icalproperty.c. Un attaquant distant pourrait créer un email spécialement conçu avec des données de fuseau horaire mal formées et provoquer une confusion de type et mettre l'application hors service.

Des correctifs ont été publiés par Mozilla et sont disponibles au téléchargement depuis le 13 juin 2019.

Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.