Une mise à jour de sécurité pour Thunderbird 2

Avec la mouture 2.0.0.19 de Thunderbird, les développeurs de la fondation Mozilla éliminent sept vulnérabilités, dont aucune n’est importante ou critique. Nous retrouvons les grands classiques : ‘plantage’ avec corruption de la mémoire, escalade de privilèges sous JavaScript, vol de données, etc.

La mise à jour – automatique sur la plupart des systèmes d’exploitation – corrigera l’ensemble de ces problèmes. Notons toutefois que nombre de vulnérabilités touchant Thunderbird sont liées au moteur JavaScript, qui est désactivé (par défaut) lors de la lecture des courriers et actualités. Le risque est donc particulièrement limité.

Le rythme de correction des bogues de Mozilla Thunderbird est toutefois inquiétant. Ainsi, la plupart des problèmes constatés ici sont communs avec Firefox, et supprimés avec la mouture 2.0.0.19 de ce navigateur web, sortie près de quinze jours avant celle de Thunderbird.

Ceci laisse le champ libre aux pirates, qui peuvent ainsi s’appuyer sur la base de données des vulnérabilités corrigées dans Firefox pour peaufiner leurs attaques contre le client de messagerie de la fondation.

Pire, avec l’arrêt du support de Firefox 2.0, les développeurs de Thunderbird devront maintenant analyser et corriger tous les problèmes de sécurité eux-mêmes. De fait, il serait fort malvenu de leur part d’en stopper le support technique, alors même que Thunderbird 3.0 se trouve encore en version bêta.