Mozilla corrige plusieurs vulnérabilités dans Thunderbird

Mozilla a corrigé plusieurs vulnérabilités, dont quatre critiques, dans son client mail Thunderbird. L’exploitation de ces failles permettrait notamment de provoquer un déni de service, une exécution de code arbitraire à distance, des injections des requêtes illégitimes par rebond (CSRF) ou d'avoir accès à des données confidentielles.

Les vulnérabilités critiques et élevées corrigées sont :

  • CVE-2018-12359 & CVE-2018-12360 : criticité : critique. Des failles de débordement de tampon et d'utilisation de mémoire après sa libération (use-after-free) pourraient être exploitées pour provoquer un plantage du programme ;
  • CVE-2018-5188 : criticité : critique. Des failles de corruption de mémoire pourraient être exploitées pour exécuter du code arbitraire ;
  • CVE-2018-12362 & CVE-2018-12363 : criticité : élevée. Des failles de dépassement d'entier et d'utilisation de mémoire après sa libération (use-after-free) pourraient être exploitées pour provoquer un plantage du programme ;
  • CVE-2018-12364 criticité : élevée. Une faille dans la gestion des plugins NPAPI pourrait être exploitée pour provoquer des injections de requêtes illégitimes par rebond (CSRF) ;
  • CVE-2018-12372 & CVE-2018-12373 : criticité : élevée. Des failles dans la gestion des réponses et des transferts de courriel au format HTML pourraient être exploitées pour décrypter des textes chiffrés ;

Le détail des autres vulnérabilités corrigés est disponible ici.

Informations
+

Risques

  • Déni de service
  • Exécution de code arbitraire à distance
  • Atteinte à la confidentialité des données
  • Injection de requêtes illégitimes par rebond (CSRF)

Criticité

  • CVSS v3 : 8.8 (score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Thunderbird versions antérieures à 52.9

CVE

  • CVE-2018-12359
  • CVE-2018-12360
  • CVE-2018-12372
  • CVE-2018-12373
  • CVE-2018-12362
  • CVE-2018-12363
  • CVE-2018-12364
  • CVE-2018-12365
  • CVE-2018-12366
  • CVE-2018-12368
  • CVE-2018-12374
  • CVE-2018-5188

Recommandations
+

Correctifs

  • Mozilla a corrigé la vulnérabilité à partir de la version 52.9 de Thunderbird.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.