Une mise à jour de sécurité pour Thunderbird

Le logiciel de messagerie de la fondation Mozilla, Tunderbird, passe en version 2.0.0.12 et apporte son lot de corrections de bugs. Cette mouture élimine également cinq failles de sécurité, dont une classée critique. Cette dernière se déclenche lorsque l’utilisateur affiche un message contenant un corps MIME externe. Il existe alors une possibilité de dépassement de tampon avec exécution de code arbitraire.

Les quatre autres failles sont communes avec Firefox 2.0.0.11, et moins sensibles dans le contexte d’utilisation imposé par Thunderbird. La première, classée basse, touche le décodeur d’images BMP. Les trois autres présentent un risque modéré. Un problème avec la définition des URI offre – sous certaines conditions – de lire des fichiers locaux (uniquement du code JavaScript, des feuilles de style CSS et des images).

Avec la seconde, un script peut accéder aux privilèges de chrome (par escalade de privilèges), permettant ainsi d’injecter des scripts sur la page d’un autre site, ce qui est sans application possible sous Thunderbird. Enfin, la dernière provoque un plantage de l’application, avec corruption de la mémoire. Aucun exploit connu ne permet cependant d’en tirer partie.

La mise à jour vers Thunderbird 2.0.0.12 est (ou sera) automatiquement proposée aux utilisateurs. Dans le cas contraire, il convient de l’effectuer manuellement, dès que possible.