Multiples vulnérabilités dans Thunderbird sur Ubuntu

Ubuntu a publié un bulletin de sécurité annonçant la correction de plusieurs vulnérabilités dans le client de messagerie Thunderbird, présent dans les versions 18.10 et 19.04 de la distribution.

Les vulnérabilités découvertes peuvent permettre à un attaquant d’usurper l’identité de l’auteur d’un message, exécuter du code sur la machine cible ou provoquer un déni de service.

CVE-2019-11755 [CVSS 7.5] : Un message S/MIME chiffré et signé peut être considéré comme valide même si la signature du message ne correspond pas au message original. Un attaquant pourrait exploiter cette vulnérabilité pour usurper l’identité d’une personne en tant qu’émetteur du message.

CVE-2019-15903 [ CVSS 7.5] : Une vulnérabilité de type dépassement de tas a été découverte dans la bibliothèque Expat (version < 2.2.8) utilisée par Thunderbird. L’envoi d’un message spécifique permet d’exploiter cette vulnérabilité et causer un déni de service ou une exécution de code sur la machine d’un utilisateur.

CVE-2019-11757 [CVSS en cours de calcul] : De multiples vulnérabilités dans Thunderbird, pourraient être exploitées par un site malveillant lors de son affichage pour effectuer différentes attaques sur la machine de l’utilisateur: déni de service, contournement des politiques  de sécurité, exécution de code

Informations
+

Risques

  • Usurpation d'identité
  • Compromission de la machine cible
  • Exécution de code sur la machine cible
  • Déni de service

Criticité

  • Score CVSS : 7.5 (certaines CVSS sont toujours en cours de calcul)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Versions de Thunderbird qui précédent la version 68.2.1 sur Ubuntu 18.04 LTS et Ubuntu 19.10

CVE

  • CVE-2019-11755
  • CVE-2019-11757
  • CVE-2019-11758
  • CVE-2019-11759
  • CVE-2019-11760
  • CVE-2019-11761
  • CVE-2019-11762
  • CVE-2019-11763
  • CVE-2019-11764
  • CVE-2019-15903

Recommandations
+

Mise en place de correctif de sécurité

  • Il est recommandé de mettre à jour Thunderbird vers la version 68.2.1 ou supérieure.

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.