Multiples vulnérabilités dans Thunderbird sur Ubuntu

Ubuntu a publié un bulletin de sécurité annonçant la correction de plusieurs vulnérabilités dans le client de messagerie Thunderbird, présent dans les versions 18.10 et 19.04 de la distribution.

Les vulnérabilités découvertes peuvent permettre à un attaquant d’usurper l’identité de l’auteur d’un message, exécuter du code sur la machine cible ou provoquer un déni de service.

CVE-2019-11755 [CVSS 7.5] : Un message S/MIME chiffré et signé peut être considéré comme valide même si la signature du message ne correspond pas au message original. Un attaquant pourrait exploiter cette vulnérabilité pour usurper l’identité d’une personne en tant qu’émetteur du message.

CVE-2019-15903 [ CVSS 7.5] : Une vulnérabilité de type dépassement de tas a été découverte dans la bibliothèque Expat (version < 2.2.8) utilisée par Thunderbird. L’envoi d’un message spécifique permet d’exploiter cette vulnérabilité et causer un déni de service ou une exécution de code sur la machine d’un utilisateur.

CVE-2019-11757 [CVSS en cours de calcul] : De multiples vulnérabilités dans Thunderbird, pourraient être exploitées par un site malveillant lors de son affichage pour effectuer différentes attaques sur la machine de l’utilisateur: déni de service, contournement des politiques  de sécurité, exécution de code