Mozilla corrige plusieurs vulnérabilités dans Thunderbird

Mozilla a corrigé plusieurs vulnérabilités, dont quatre critiques, dans son client mail Thunderbird. L’exploitation de ces failles permettrait notamment de provoquer un déni de service, une exécution de code arbitraire à distance, des injections des requêtes illégitimes par rebond (CSRF) ou d'avoir accès à des données confidentielles.

Les vulnérabilités critiques et élevées corrigées sont :

• CVE-2018-12359 & CVE-2018-12360 : criticité : critique. Des failles de débordement de tampon et d'utilisation de mémoire après sa libération (use-after-free) pourraient être exploitées pour provoquer un plantage du programme ;
• CVE-2018-5188 : criticité : critique. Des failles de corruption de mémoire pourraient être exploitées pour exécuter du code arbitraire ;
• CVE-2018-12362 & CVE-2018-12363 : criticité : élevée. Des failles de dépassement d'entier et d'utilisation de mémoire après sa libération (use-after-free) pourraient être exploitées pour provoquer un plantage du programme ;
• CVE-2018-12364 : criticité : élevée. Une faille dans la gestion des plugins NPAPI pourrait être exploitée pour provoquer des injections de requêtes illégitimes par rebond (CSRF) ;
• CVE-2018-12372 & CVE-2018-12373 : criticité : élevée. Des failles dans la gestion des réponses et des transferts de courriel au format HTML pourraient être exploitées pour décrypter des textes chiffrés ;

Le détail des autres vulnérabilités corrigés est disponible ici.