Avis de sécurité Mozilla Thunderbird du 06 avril 2022

5/5 - (6 votes)

Avis de sécurité Mozilla Thunderbird du 06 avril 2022

En général, ces failles ne peuvent pas être exploitées par e-mail dans le produit Thunderbird car les scripts sont désactivés lors de la lecture des e-mails, mais présentent des risques potentiels dans les contextes de navigateur ou de type navigateur. Ces vulnérabilités de sécurité sont corrigées dans la version 91.8 de Thunderbird. (Sources)


Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.

Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.

CVE-2022-1097 : Utilisation après libération dans les objets NSSToken;
CVE-2022-28281 : Écriture hors limites en raison d’extensions WebAuthN inattendues;
CVE-2022-1197 : les informations de révocation d’OpenPGP ont été ignorées;
CVE-2022-1196 : Utilisation après libération après la destruction du processus VR;
CVE-2022-28282 : Utilisation après libération dans DocumentL10n ::TranslateDocument;
CVE-2022-28286 : le contenu de l’iframe pouvait être affiché en dehors de la bordure;
CVE-2022-24713 : Déni de service via des expressions régulières complexes;
CVE-2022-28289 : bogues de sécurité de la mémoire corrigés dans Thunderbird 91.8;

 

Multiples vulnérabilités dans Mozilla Thunderbird. De multiples vulnérabilités ont été découvertes dans Mozilla Thunderbird. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une atteinte à l’intégrité des données. (Sources)


Code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes.


Mozilla Thunderbird est un client de messagerie, libre, distribué gratuitement par la fondation Mozilla et issu du projet Mozilla. Consacré à l'origine au courrier électronique, aux groupes de discussion et aux flux RSS et Atom, il s'est au fil du temps équipé de fonctionnalités supplémentaires tels qu'agenda, de gestionnaire de tâches et de messagerie instantanée, lui conférant désormais le titre de collecticiel.


De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation.

L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique.


Mozilla désigne avant tout la Fondation Mozilla, qui a déposé la marque Mozilla en 2006. Cette fondation à but non lucratif est guidée par le manifeste Mozilla, qui tâche de préserver le choix et l’innovation sur internet.

Elle développe le navigateur Firefox. Elle gère le développement et l’implantation d’une série de logiciels libres et de technologies. Mozilla désigne aussi la Communauté Mozilla, maître d'œuvre, supportée et organisée par la Mozilla Foundation.

Retour haut de page