Vulnérabilités dans Thunderbird

Plusieurs vulnérabilités ont été découvertes dans Thunderbird, le service de messagerie proposé par Mozilla. Un attaquant distant exploitant ces vulnérabilités peut provoquer un déni de service ou une exécution de code arbitraire.

CVE-2020-12399 [Score CVSS v3 : 6.5] : Une vulnérabilité cryptographique a été découverte dans la bibliothèque NSS utilisée par Thunderbird. Un attaquant distant exploitant cette vulnérabilité peut potentiellement obtenir les clés privées en cours d’utilisation via une attaque temporelle.

CVE-2020-12405 [Score CVSS v3 : 5.3] : Une vulnérabilité de type “use-after-free” a été découverte dans le composant “SharedWorkerService” utilisé par Thunderbird. Un attaquant distant exploitant cette vulnérabilité peut causer un plantage du programme menant à une potentielle exécution de code arbitraire, via l’exploitation d’une situation de compétition.

CVE-2020-12406 [Score CVSS v3 : 8.8] : Une vulnérabilité de type confusion de types a été découverte dans l’implémentation de JavaScript utilisée par Thunderbird. Un attaquant distant exploitant cette vulnérabilité peut causer un plantage du programme, suspecté de pouvoir mener à une exécution de code arbitraire.

CVE-2020-12410 [Score CVSS v3 : 8.8] : Une vulnérabilité liée à un bogue de protection de la mémoire a été découverte dans Thunderbird. Une attaquant distant exploitant cette vulnérabilité peut corrompre la mémoire du programme, menant à une éventuelle exécution de code arbitraire.

CVE-2020-12398 [Score CVSS v3 : en cours de calcul] : Une vulnérabilité liée à une connexion non-sécurisée a été découverte dans Thunderbird. Si Thunderbird est configuré pour utiliser STARTTLS avec un serveur IMAP et que ce serveur envoie une réponse PREAUTH, alors Thunderbird va continuer avec une connexion non chiffrée ce qui peut causer un envoi de mails sans protection.