Mozilla publie une nouvelle version de Thunderbird corrigeant plusieurs vulnérabilités

Thunderbird est le client de messagerie de Mozilla. En plus de gérer plusieurs comptes de messagerie, le programme peut également être utilisé pour s'abonner à des flux RSS et accéder à des groupes de discussion en ligne. 

La version 52.5.2 publiée le 22 décembre corrige la vulnérabilité "Mailsploit" ainsi que d'autres vulnérabilités détectées lors d’un audit. 

Parmi les vulnérabilités corrigées, on retrouve une vulnérabilité critique : la CVE-2017-7845. Un débordement de tampon se produit lors du dessin et la validation d'éléments par la bibliothèque graphique ANGLE (qui fait appel à l'API Direct 3D 9), utilisée pour le contenu WebGL1. La vulnérabilité résulte de la transmission d’une valeur incorrecte au sein de la bibliothèque lors des contrôles. Cela aboutit à un bug potentiellement exploitable par l’attaquant pour exécuter du code. Cette attaque affecte uniquement les systèmes d'exploitation Windows.

Deux vulnérabilités de criticité moins élevée ont été corrigées dans cette version : 1)CVE-2017-7846 et 2)CVE-2017-7847.

  1. Il est possible d'exécuter du code JavaScript dans le flux RSS analysé lorsque ce dernier est considéré comme un site Web. Par exemple via "Affichage -> Article article -> Site Web" ou dans le format standard "Affichage -> Article article -> format par défaut".
  2. Le CSS dans un flux RSS peut révéler des chemins d'accès locaux, qui peuvent contenir le nom d'un utilisateur.

Une vulnérabilité de criticité modérée (CVE-2017-7848) concerne certains champs RSS qui peuvent être utilisés en modifiant le corps du message pour injecter de nouvelles lignes dans la structure de messagerie créée.

Il est également possible d'usurper l'adresse e-mail de l'expéditeur et d'afficher une adresse d'expéditeur arbitraire au destinataire de l'e-mail. L'adresse de l'expéditeur réel n'est pas affichée si elle est précédée d'un caractère nul dans la chaîne d'affichage (CVE-2017-7829).

Il est recommandé de mettre à jour le produit à la dernière version disponible.
 
1WebGL permet d'afficher, de créer et de gérer dynamiquement des éléments graphiques complexes en 3D dans la fenêtre du navigateur web d'un client.