Fondation Mozilla
Avec la sortie de Thunderbird 52.9, les développeurs ont été en mesure de corriger un certain nombre de failles de sécurité critiques et par conséquent, les utilisateurs sont invités à effectuer une mise à niveau afin de s’assurer qu’ils ne tombent pas à l’encontre d’une de ces vulnérabilités. Étant donné que Thunderbird désactive les scripts lors de la lecture du courrier, il ne peut généralement pas souffrir de la plupart de ces problèmes. Cependant, il existe des risques potentiels dans les contrôles de type navigateur qui sont suffisamment inquiétants pour que l'organisation consacre beaucoup de temps à s'assurer qu'aucun de ces problèmes ne puisse être détecté dans la nature.
Les débordements de tampon sont toujours parmi les vulnérabilités les plus préoccupantes, et les exploits de l'erreur # CVE-2018-12359 se seraient appuyés sur cette technique même pour prendre le contrôle du client de messagerie. Des débordements pourraient théoriquement se produire lors du rendu des modules de canevas lorsque la hauteur et la largeur d'un élément de canevas étaient déplacées dynamiquement.
Si cela se produit, les données peuvent être écrites en dehors des limites normales de la mémoire et peuvent permettre l'exécution de code arbitraire. «12359 a été corrigé dans la version 52.9, ce qui est probablement une raison suffisante pour que la plupart des utilisateurs procèdent à une mise à niveau.
L'autre vulnérabilité majeure, # CVE-2018-12360, aurait pu se produire hypothétiquement lorsqu'un élément d'entrée a été supprimé à certains moments. Cela aurait généralement dû exploiter la méthode utilisée par les gestionnaires d'événements de mutation qui se déclenchent lorsqu'un élément est focalisé.
S'il est relativement peu probable que «12360 ait pu se produire dans la nature, la possibilité d'exécution de code arbitraire était suffisamment élevée pour que personne ne veuille risquer que quelque chose se passe. En conséquence, cette erreur a également été corrigée avec une erreur impliquant des éléments CSS et une autre impliquant une fuite de texte en clair à partir d'e-mails déchiffrés.
Les utilisateurs qui souhaitent passer à la dernière version et profiter ainsi de ces corrections de bogues n'auront pas à se soucier de la configuration système requise. La version Windows fonctionne avec des installations aussi anciennes que Windows XP et Windows Server 2003.
Les utilisateurs de Mac peuvent exécuter 52.9 sur OS X Mavericks ou plus récent, et presque tout le monde utilisant une distribution GNU / Linux moderne devrait pouvoir mettre à niveau car la seule dépendance notable est GTK + 3.4 ou supérieur. Ces utilisateurs peuvent constater que la nouvelle version est de toute façon dans leurs référentiels assez tôt.
Mots clés sécurité web
