Vulnérabilités dans Thunderbird

Plusieurs vulnérabilités ont été découvertes dans Thunderbird, le service de messagerie proposé par Mozilla. Un attaquant distant exploitant ces vulnérabilités peut contourner des politiques de sécurité, provoquer un déni de service ainsi que potentiellement exécuter du code arbitraire.

CVE-2020-6514 [Score CVSS v3 : 6.5] : Une vulnérabilité résultant en une fuite d’informations sensibles a été découverte dans le composant WebRTC utilisé par Thunderbird. Un attaquant distant peut obtenir des adresses d’objets contenus en mémoire, facilitant le contournement de politiques de protection de la mémoire du système.

CVE-2020-15652 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité résultant en une fuite d’informations a été découverte dans Thunderbird. Un attaquant distant peut, via l’observation de messages d’erreur, déterminer le résultat d’une requête de type “cross-origin”. Cette vulnérabilité résulte en un possible contournement de la politique de même origine, facilitant ainsi grandement une attaque XSS (“cross-site scripting”) pour l’attaquant.

CVE-2020-15659 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité a été découverte dans les mécanismes de protection mémoire utilisés par Thunderbird. Un attaquant distant peut provoquer une corruption de la mémoire via l’utilisation de bogues non-spécifiés, résultant en un potentiel déni de service, voire une exécution de code arbitraire.

Informations
+

Risques

  • Contournement de politiques de sécurité (politique de même origine et mécanismes de protection mémoire du système)

  • Corruption mémoire

  • Déni de service

  • Exécution de code arbitraire

Criticité

  • Scores CVSS v3 : 6.5 et en cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Thunderbird avant la version 68.11

CVE

  • CVE-2020-6463

  • CVE-2020-6514

  • CVE-2020-15652

  • CVE-2020-15659


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Thunderbird vers la version 68.11

Solution de contournement

  • Aucune solution de contournement n’est disponible