Vulnérabilités dans Thunderbird

Plusieurs vulnérabilités ont été corrigées dans Thunderbird, le client de messagerie proposé par Mozilla. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, une installation non désirée d’extension ou une exécution de code arbitraire.

CVE-2020-15663 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant permettre une élévation de privilèges a été découverte dans Mozilla Maintenance Service (MMS).  Si Thunderbird est installé dans un dossier modifiable par l’utilisateur, MMS va alors exécuter updater.exe avec des privilèges élevés. Bien que les versions actuelles soient sécurisées, un attaquant peut induire un retour à une version antérieure pouvant permettre l’exploitation d’un bogue pouvant conduire à une élévation de privilèges. 

Cette vulnérabilité n’affecte que les systèmes Windows.

CVE-2020-15664 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant conduire à une installation d’extension non souhaitée a été découverte dans Thunderbird. En accédant à l’objet InstallTrigger, une page web malveillante peut conduire un utilisateur à installer une extension. 

CVE-2020-15669 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “use-after-free” a été découverte dans Thunderbird. Lors de l’annulation d’une opération, le signal d’annulation peut être supprimé ce qui peut conduire en une situation de “use-after-free”. Celle-ci peut être exploitée par un attaquant afin de provoquer une exécution de code arbitraire.

CVE-2020-15670 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “corruption de mémoire” a été corrigée dans Thunderbird. Un attaquant peut exploiter cette vulnérabilité afin de provoquer une exécution de code arbitraire.