La dernière mise à jour de Mozilla Thunderbird corrige plusieurs vulnérabilités sévères

Publié le 06 novembre 2021 à 15h37

Une nouvelle version de Thunderbird est disponible et corrige plusieurs vulnérabilités sévères.

Toutes les installations du logiciel, peu importe le système d'exploitation, sont concernées par la majorité de ces vulnérabilités.

Des failles permettant de l'exécution de code arbitraire et de la corruption de mémoire

Mozilla a sorti la dernière version de son client de messagerie Thunderbird, la 91.3, qui corrige plusieurs vulnérabilités importantes. Ces dix failles ont été découvertes par plusieurs chercheurs et concernent plusieurs aspects du logiciel. Dans son alerte de sécurité, l'entreprise explique que la majorité de ces vulnérabilités ne peuvent pas être exploitées à travers les emails, vu que les scripts sont désactivés, mais sont un risque de sécurité dans un contexte de navigation.

Les plus sévères de ces vulnérabilités peuvent permettre à un attaquant de contourner les restrictions de l'iframe et d'exécuter des scripts, de créer des corruptions de mémoire qui mènent à des crashs potentiellement exploitables ou encore d'exécuter du code arbitraire et forcer Thunderbird en plein écran sans que l'utilisateur ou utilisatrice soit prévenu pour le cibler avec une attaque de phishing.

Une des vulnérabilités les plus modérées, la CVE-2021-38510, ne concerne que les utilisateurs et utilisatrices de macOS. L'avertissement pour les fichiers exécutables n'était pas affiché lors du téléchargement de fichiers .inetloc, ce qui peut conduire à de l'exécution de code sur le système d'exploitation.

Des données potentiellement sensibles enregistrées sur des comptes Microsoft

L'une des failles, la CVE-2021-38505, concerne la fonctionnalité presse-papiers de Windows 10. Afin de permettre aux utilisateurs et utilisatrices de retrouver leurs éléments copiés dans le presse-papiers sur plusieurs appareils, Windows 10 permet de synchroniser les données copiées dans le cloud. En parallèle, d'autres formats ont été créés, permettant aux développeurs de les utiliser pour éviter cette synchronisation pour les données les plus sensibles. Cependant, jusqu'à présent, Thunderbird ne tirait pas parti de ces ajouts et il était possible que lors de l'utilisation du logiciel, certaines données sensibles soient enregistrées sur les comptes Microsoft des utilisateurs. C'était également le cas pour Firefox, jusqu'à sa version 94.

Il est conseillé à tous les utilisateurs, peu importe leur système d'exploitation, de rapidement faire la mise à jour vers la version 91.3.

Mozilla Thunderbird

Libre et gratuit !
Calendrier et tâches intégrés
Complet, modulable et sécurisé

9 / 10

Télécharger

Source : BleepingComputer

A découvrir

Les meilleures boîtes mail gratuites en 2024

18 novembre 2024 à 15h14

Comparatifs services

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (1)

backbone

Cette MAJ (et les deux précédentes) foutent la merde avec les dossiers IMAP contenant des caractères spéciaux ou des espaces (dans le cas où vous seriez sous Oracle Messaging côté MDA).