Mozilla publie une nouvelle version de Thunderbird corrigeant plusieurs vulnérabilités

Thunderbird est le client de messagerie de Mozilla, organisation mieux connue pour son navigateur Web Firefox. En plus de gérer plusieurs comptes de messagerie, le programme peut également être utilisé pour s'abonner à des flux RSS et accéder à des groupes de discussion en ligne.

La version 52.5.2 publiée le 22 décembre corrige la vulnérabilité "Mailsploit" ainsi que d'autres vulnérabilités détectées lors d’un audit.

Parmi les vulnérabilités corrigées, on retrouve une vulnérabilité critique : la CVE-2017-7845. Un débordement de tampon se produit lors du dessin et de la validation d'éléments à l'aide de Direct 3D 9 avec la bibliothèque graphique ANGLE, utilisée pour le contenu WebGL1. La vulnérabilité résulte de la transmission d’une valeur incorrecte au sein de la bibliothèque lors des contrôles de cette dernière. Cela aboutit à un plantage potentiellement exploitable par l’attaquant pour exécuter du code. Cette attaque affecte uniquement les systèmes d'exploitation Windows. Les autres systèmes d'exploitation ne sont pas affectés.

Deux vulnérabilités de criticité moins élevée ont été corrigés dans cette version : CVE-2017-7846 et CVE-2017-7847.

  • Il est possible d'exécuter du code JavaScript dans le flux RSS analysé lorsque le flux RSS est considéré comme un site Web, par exemple via "Affichage -> Article article -> Site Web" ou dans le format standard "Affichage -> Article article -> format par défaut".
  • Le CSS ouvert dans un flux RSS peut révéler des chemins d'accès local, qui peuvent contenir le nom d'un utilisateur.

Une vulnérabilité de criticité modérée (CVE-2017-7848) concerne certains champs RSS qui peuvent être utilisé en modifiant le corps du message pour injecter de nouvelles lignes dans la structure de messagerie créée.

Il est également possible d'usurper l'adresse e-mail de l'expéditeur et d'afficher une adresse d'expéditeur arbitraire au destinataire de l'e-mail. L'adresse de l'expéditeur réel n'est pas affichée si elle est précédée d'un caractère nul dans la chaîne d'affichage (CVE-2017-7829).

Il est recommandé de mettre à jour le produit à la dernière version disponible.