Quatre vulnérabilités corrigées dans Thunderbird

Le 14 février, la fondation Mozilla a publié une mise à jour corrigeant 4 vulnérabilités sur Thunderbird. Parmi elles, deux sont considérées comme importantes et deux autres comme moyennes. L'exploitation de la vulnérabilité la plus critique pourrait permettre à un attaquant d’exécuter du code arbitraire à distance.
L'attaque est peu complexe à mettre en œuvre, ne nécessite pas de privilège, mais requiert l'interaction avec un utilisateur. L’impact estimé sur la confidentialité, l’intégrité et la disponibilité est élevé.

Thunderbird est un client de messagerie libre distribué par la fondation Mozilla. Ce logiciel partage une partie du code source du navigateur Firefox.

Mozilla indique que ces différentes vulnérabilités ne pourraient pas être exploitées par l'intermédiaire du client de messagerie, car l’exécution de script est désactivée lors de la lecture d'un mail. Elles présentent toutefois un risque lors de l'utilisation de Thunderbird comme navigateur web. Du fait de la criticité de ces vulnérabilités, il est recommandé de mettre à jour Thunderbird le plus rapidement possible.

Red Hat et Ubuntu ont publié des correctifs sur leurs produits impactés.

Détails techniques

Les vulnérabilités ont été référencées comme suit :

• CVE-2018-18356 [CVSS v3 8.8] : Une vulnérabilité liée à une utilisation de la mémoire après sa libération dans Skia (librairie source ouverte qui sert de moteur graphique pour plusieurs produits tels que Mozilla, Google Chrome, Android...) est possible lors de la création d'un chemin provoquant une interruption inattendue (crash) potentiellement exploitable.
• CVE-2018-18335 [CVSS v3 8.8] : Une vulnérabilité de type dépassement de tampons dans la librairie Skia dans l'accélération de Canvas 2D sur macOS.
• CVE-2019-5785 [CVSS v3 6.5] : Une vulnérabilité de type dépassement d'entier dans la bibliothèque Skia peut survenir après des opérations de transformation spécifiques, entraînant un crash potentiellement exploitable.
• CVE-2018-18509 [CVSS v3 5.3] : Une vulnérabilité reposant sur les fonctionnalités de déchiffrement et de vérification des en-têtes de signature (basées sur le standard S/MIME) permettrait à un attaquant de procéder à une usurpation (spoofing) de signature. Un attaquant pourrait alors l'exploiter en envoyant un courriel malveillant au système cible, entraînant un arrêt du système et son redémarrage.

Aucune des vulnérabilités ci-dessus n'auraient été exploitées de manière active. De même, il n'existe aucun code d'exploitation publiquement disponible.