Avis de sécurité Mozilla du 19 septembre 2022

Le bulletin de sécurité 2022-39 de la fondation Mozilla corrige de nombreuses vulnérabilités dans Thunderbird 91.13.1. L’annonce a été faite le 19 septembre 2022 et concerne une fuite d’informations sensibles, un déclenchement à distance d’une requête réseau, un déni de service (DDoS) et une atteinte à la confidentialité des données.

Correction de la vulnérabilité CVE-2022-3033 qui avait détecté une fuite d’informations sensibles lors de la rédaction d’une réponse à un e-mail HTML avec une balise d’actualisation META. Le contenu pourrait alors être transmis au réseau, soit à l’URL spécifiée dans la balise META refresh, soit à une URL différente, car le code JavaScript pourrait modifier l’URL spécifiée dans le document. (Sources)

Correction de la vulnérabilité CVE-2022-3032 dont le contenu distant spécifié dans un document HTML était imbriqué dans l’attribut srcdoc d’une iframe et qui n’était pas bloqué. Au contraire, le réseau a été accédé, les objets ont été chargés et affichés, Ce qui pouvait conduire à un déni de service (DDoS). (Sources)

Correction de la vulnérabilité CVE-2022-3034 par laquelle un élément iframe dans un e-mail HTML pouvait déclencher une requête réseau. Lors de la réception d’un e-mail HTML qui spécifiait de charger un élément iframe à partir d’un emplacement distant, une demande au document distant était envoyée. Cependant, Thunderbird n’a pas affiché le document. Cette faille pouvait conduire à l’exécution de code arbitraire à distance. (Sources)

La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges.


Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif.

Multiples vulnérabilités dans Mozilla Thunderbird. De multiples vulnérabilités ont été découvertes dans Mozilla Thunderbird. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. (Sources)

Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont : - Centralisation des demandes d'assistance à la suite des incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents,
- Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERTs, contribution à des études techniques spécifiques, - Etablissement et maintenance d'une base de donnée des vulnérabilités, - Prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences, - Coordination éventuelle avec les autres entités ( centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet CERTs nationaux et internationaux).