Plusieurs vulnérabilités corrigées sur Thunderbird

Le 31 octobre, la fondation Mozilla a publié une mise à jour corrigeant 5 vulnérabilités sur Thunderbird. Parmi elles, une est considérée comme critique, 3 comme importantes et une comme faible. L'exploitation de la vulnérabilité la plus critique pourrait permettre à un attaquant d’exécuter du code arbitraire à distance. L'attaque est peu complexe à mettre en œuvre, ne nécessite pas de privilèges mais requiert l'interaction avec un utilisateur. L’impact estimé sur la confidentialité, l’intégrité et la disponibilité est élevé.

Thunderbird est un client de messagerie libre distribué par la fondation Mozilla. Ce logiciel partage une partie du code source du navigateur Firefox. C'est pourquoi plusieurs vulnérabilités découvertes dans le navigateur se retrouvent dans Thunderbird. Ainsi, les différentes vulnérabilités découvertes dans Thunderbird avaient également été corrigées dans Firefox lors d'une mise à jour datant du 23 octobre. Tout comme la version navigateur, l'accès aux détails techniques des bugs via la plateforme bugzilla est restreint.

Mozilla indique que ces différentes vulnérabilités ne pourraient pas être exploitées via le client mail car l’exécution de script est désactivée lors de la lecture d'un mail. Elles présentent toutefois un risque lors de l'utilisation de Thunderbird comme navigateur web. Du fait de la criticité de ces vulnérabilités, il est recommandé de mettre à jour Thunderbird le plus rapidement possible.

Beaucoup de distributions Linux incluent Thunderbird dans leurs dépôts, mais celles-ci n'ont pas toutes mis à jour leurs versions du logiciel. Red Hat et Ubuntu ont publié le correctif sur la majorité de leur produit, ce qui n'est pas le cas pour SUSE et Debian.

Détails Techniques

Les vulnérabilités les plus importantes ont été référencées comme suit :

  • CVE-2018-12390 [CVSS 8.8] : plusieurs bogues de sûreté dans l'accès à la mémoire ont été découverts, les plus critiques pourraient entraîner une corruption de la mémoire et leurs exploitations pourraient permettre à un attaquant d'exécuter du code arbitraire. 
  • CVE-2018-12392 [CVSS 7.5] : lors de l'ouverture d'un document via un script, il est possible de déclencher un arrêt du service du une mauvaise gestion d’événements déclenchés par l'utilisateur.
  • CVE-2018-12393 [CVSS 7.5] : une vulnérabilité liée à un dépassement d'entier lors de l'encodage en UTF-16. Trop peu d'espace mémoire pourrait être alloué, entraînant une écriture hors limite et potentiellement une exécution de code arbitraire. Les versions 64 bits ne sont pas affectées.
Informations
+

Risques

  • Déni de service
  • Exécution de code à distance

Criticité

  • Score CVSS : 8.80 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Thunderbird ESR versions antérieures à la 60.3

CVE

  • CVE-2018-12389
  • CVE-2018-12390
  • CVE-2018-12391
  • CVE-2018-12392
  • CVE-2018-12393

Recommandations
+

Mise en place de correctif de sécurité

  • La mise à jour 60.3 de Thunderbird corrige les vulnérabilités.

Solution de contournement

  • Aucune solution de contournement n'est proposée.