Vulnérabilités dans Mozilla Thunderbird
Date de publication :
De multiples vulnérabilités ont été découvertes dans Mozilla Thunderbird. Un attaquant distant exploitant ces vulnérabilités peut provoquer un déni de service voire exécuter du code arbitraire.
CVE-2020-6819, CVE-2020-6820 [Score CVSS v3 : 8.1] : De multiples vulnérabilités de type “use-after-free” ont été découvertes dans Thunderbird. Un attaquant distant peut exploiter ces vulnérabilités via un accès concurrent mal géré par certaines fonctions, provoquant des effets non-spécifiés (potentiellement: exécution de code arbitraire et déni de service).
CVE-2020-6821 [Score CVSS v3 : 7.5] : Une vulnérabilité de type mémoire non-initialisée a été découverte dans Thunderbird. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations potentiellement sensibles contenues en mémoire, via des manipulations de la fonction WebGL copyTexSubImage.
CVE-2020-6825 [Score CVSS v3 : 9.8] : Une vulnérabilité causée par des bogues de protection de la mémoire a été découverte dans Thunderbird. Il a été établi que ceux-ci conduisent à une corruption de la mémoire du logiciel, pouvant potentiellement mener à une exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service (plantage du logiciel)
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.8 au maximum
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement à ce jour
Composants vulnérables
- Mozilla Thunderbird avant la version 68.7.0
CVE
- CVE-2020-6819
- CVE-2020-6820
- CVE-2020-6821
- CVE-2020-6825
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Mozilla Thunderbird vers la version 68.7.0
Solution de contournement
Aucune solution de contournement n’est disponible