Patch de sécurité : Une faille possible pour un code malveillant dans Thunderbird a été comblée

Toute personne qui consulte ses e-mails avec Thunderbird devrait mettre le client à jour. Les développeurs ont comblé deux failles de sécurité.

Selon un message d’avertissement de Mozilla, les attaquants peuvent exploiter une vulnérabilité (CVE-2021-38493 « haut« ) avec succès, cela pourrait entraîner une erreur de mémoire. Avec « suffisamment d’efforts », les attaquants pourraient exécuter un code malveillant par ce biais, soupçonne Mozilla.

La deuxième vulnérabilité (CVE-2021-38492 « modéré« ) ne concerne que Windows. Ici, les attaquants pouvaient ouvrir des sites Web dans Internet Explorer via des détours et exécuter des scripts en mode non privilégié.

Dans les versions Thunderbird 78.14 et 91.1 les développeurs ont comblé les lacunes selon leurs propres informations. Pour éviter toute confusion, il existe actuellement deux versions du client de messagerie, basées sur les versions ESR de Firefox 78.x et 91.x. Le calendrier des versions indique que la 78.x sera abandonnée au quatrième trimestre et que la 91.3 sera publiée. Selon le calendrier de publication de Firefox, la version 78.x sera abandonnée au quatrième trimestre et la version 91.3 sera publiée.


(des)