Multiples vulnérabilités dans Mozilla Thunderbird

L’Agence Nationale de la Sécurité des Système d’Information (ANSSI) a relayé l’information, via le CERT-FR, de multiples vulnérabilités concernant le client de messagerie Mozilla Thunderbird. Au total 7 vulnérabilités ont été trouvées.

Ci-dessous les trois jugées très élevées.

CVE-2021-38502[Score CVSS v3.1: 8.1]
La première vulnérabilité correspond à la possibilité pour un attaquant de réaliser des techniques de Man in The Middle (homme au milieu) et ainsi de récupérer des informations sensibles ou de réaliser des actions en usurpant l'identité d'un utilisateur. Ceci est dû au fait que le logiciel Thunderbird n'exige pas par défaut la mise en place du chiffrement ( via la commande STARTTLS).
 

CVE-2021-38496[Score CVSS v3.1: 8.8]
Une vulnérabilité du type "user-after-free" a été découverte dans le module MessageTasks de ThunderbIrd. Ce module à pour vocation de convertir un courriel en tâche, par exemple dans l'agenda. Un attaquant mal intentionné pourra exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur le système vulnérable.
 

CVE-2021-38500[Score CVSS v3.1: 8.8]
Certains membres de la communauté Mozilla, comme Andreas Pehrson et Christian, ont signalés des dysfonctionnements de sécurité dans la pagination de la mémoire lors de l’exécution de Mozilla Thunderbird. La société Mozilla révèle « qu'avec suffisamment d'efforts, certains d'entre eux auraient pu être exploités pour exécuter du code arbitraire ».