Mozilla corrige plusieurs vulnérabilités dans Thunderbird

Mozilla a corrigé des vulnérabilités critiques dans son produit Thunderbird. L’exploitation de ces failles permettrait notamment de provoquer un déni de service, d'atteindre ou modifier des données non autorisées ou d'exécuter du code arbitraire.

Ces failles ne peuvent pas être exploitées via email dans le produit Thunderbird puisque l'exécution de script est désactivée lors de la lecture du mail. Cependant, des risques potentiels existent dans le navigateur internet. Les failles sont référencées comme suit :

  • CVE-2018-5150 & CVE-2018-5183 : criticité : critique. L'exploitation de bogues logiciels provoquerait une corruption de mémoire qui pourrait permettre à un attaquant malintentionné d'exécuter du code arbitraire;
  • CVE-2018-5184 : criticité : élevée. L'utilisation de contenu distant dans un courriel chiffré permettrait à un attaquant de récupérer le contenu du message en clair.
  • CVE-2018-5154, CVE-2018-5155 et CVE-2018-5159 : criticité : élevée. Deux vulnérabilités proviennent d'un mauvais traitement des images SVG qui permettrait l'exécution d'une attaque de type "use-after-free". La troisième provient de la non-vérification du dépassement de mémoire d'un entier écrit sur 32 bits dans la librairie Skia. Ceci permettrait à un attaquant d'écrire sur une case mémoire non allouée.
    L'exploitation d'une de ces trois vulnérabilités permettrait de provoquer un arrêt brutal du programme.
  • CVE-2018-5161, CVE-2018-5162, CVE-2018-5170, CVE-2018-5168 et CVE-2018-5178 : criticité : modérée. L'exploitation de ces vulnérabilités permettraient, dans l'ordre, d'arrêter la relève des messages dans Thunderbird, de divulguer en clair du contenu de courriers chiffrés, d'usurper le nom de fichiers joints pour faire exécuter un contenu malveillant, d'installer un thème sans interaction avec l'utilisateur et de provoquer un débordement de tampon;
  • CVE-2018-5174 : criticité : modérée. Cette vulnérabilité concerne les utilisateurs de la mise à jour d'avril 2018 de Windows 10. Firefox attribue incorrectement le flag SEE_MASK_FLAG_NO_UI à tous les téléchargements. Ceci empêche le filtre SmartScreen de Windows Defender d'analyser le téléchargement et d'informer l'utilisateur que le contenu est potentiellement malveillant avant l'exécution du fichier téléchargé.
  • CVE-2018-5185 : criticité : Faible. L'exploitation de cette vulnérabilité permettrait de faire fuiter les textes en clair d'un mail déchiffré par Thunderbird via le remplissage par l'utilisateur d'un formulaire HTML intégré au mail.
Informations
+

Impact

  • Déni de service;
  • Exécution de code arbitraire à distance;
  • Atteinte à la confidentialité/intégrité des données.

Criticité

  • CVSS v3 : Score CVSS n'a pas encore été identifié.

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Mozilla Thunderbird, versions antérieures à 52.8.

CVE

  • CVE-2018-5150
  • CVE-2018-5183
  • CVE-2018-5184
  • CVE-2018-5154
  • CVE-2018-5155
  • CVE-2018-5159
  • CVE-2018-5161
  • CVE-2018-5162
  • CVE-2018-5170
  • CVE-2018-5168
  • CVE-2018-5174
  • CVE-2018-5178
  • CVE-2018-5185

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par Mozilla corrigeant la vulnérabilité.
  • La vulnérabilité est corrigée à partir de la version 52.8 de Thunderbird.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.