Une nouvelle version de Thunderbird est disponible et corrige plusieurs vulnérabilités sévères.
Toutes les installations du logiciel, peu importe le système d'exploitation, sont concernées par la majorité de ces vulnérabilités.
Des failles permettant de l'exécution de code arbitraire et de la corruption de mémoire
Mozilla a sorti la dernière version de son client de messagerie Thunderbird, la 91.3, qui corrige plusieurs vulnérabilités importantes. Ces dix failles ont été découvertes par plusieurs chercheurs et concernent plusieurs aspects du logiciel. Dans son alerte de sécurité, l'entreprise explique que la majorité de ces vulnérabilités ne peuvent pas être exploitées à travers les emails, vu que les scripts sont désactivés, mais sont un risque de sécurité dans un contexte de navigation.
Les plus sévères de ces vulnérabilités peuvent permettre à un attaquant de contourner les restrictions de l'iframe et d'exécuter des scripts, de créer des corruptions de mémoire qui mènent à des crashs potentiellement exploitables ou encore d'exécuter du code arbitraire et forcer Thunderbird en plein écran sans que l'utilisateur ou utilisatrice soit prévenu pour le cibler avec une attaque de phishing.
Une des vulnérabilités les plus modérées, la CVE-2021-38510, ne concerne que les utilisateurs et utilisatrices de macOS. L'avertissement pour les fichiers exécutables n'était pas affiché lors du téléchargement de fichiers .inetloc, ce qui peut conduire à de l'exécution de code sur le système d'exploitation.
Des données potentiellement sensibles enregistrées sur des comptes Microsoft
L'une des failles, la CVE-2021-38505, concerne la fonctionnalité presse-papiers de Windows 10. Afin de permettre aux utilisateurs et utilisatrices de retrouver leurs éléments copiés dans le presse-papiers sur plusieurs appareils, Windows 10 permet de synchroniser les données copiées dans le cloud. En parallèle, d'autres formats ont été créés, permettant aux développeurs de les utiliser pour éviter cette synchronisation pour les données les plus sensibles. Cependant, jusqu'à présent, Thunderbird ne tirait pas parti de ces ajouts et il était possible que lors de l'utilisation du logiciel, certaines données sensibles soient enregistrées sur les comptes Microsoft des utilisateurs. C'était également le cas pour Firefox, jusqu'à sa version 94.
Il est conseillé à tous les utilisateurs, peu importe leur système d'exploitation, de rapidement faire la mise à jour vers la version 91.3.
- Libre et gratuit !
- Calendrier et tâches intégrés
- Complet, modulable et sécurisé
Mozilla Thunderbird est un client de messagerie gratuit et open source disponible pour Windows, macOS et Linux. Il offre de nombreuses fonctionnalités, une interface sobre et intuitive ainsi qu'une protection renforcée de vos données personnelles.
Mozilla Thunderbird est un client de messagerie gratuit et open source disponible pour Windows, macOS et Linux. Il offre de nombreuses fonctionnalités, une interface sobre et intuitive ainsi qu'une protection renforcée de vos données personnelles.
Source : BleepingComputer
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
