> Tous les forums > Forum Internet et Réseaux
 Correction d'une faille importante dans Mozilla ThunderbirdSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
miccmacc3
  Posté le 05/11/2021 @ 19:10 
Aller en bas de la page 
Maître astucien

bonjour les amis

Mozilla a publié Thunderbird 91.3 pour corriger plusieurs vulnérabilités à fort impact qui peuvent provoquer un déni de service, usurper l'origine, contourner les politiques de sécurité et permettre l'exécution de code arbitraire.

Le déclenchement de la plupart des bogues nouvellement découverts nécessite qu'un utilisateur ouvre un site Web spécialement conçu dans un contexte de navigation, de sorte que l'exploitation est relativement simple.

Multiples défauts de gravité élevée

Mozilla Thunderbird 91.3 corrige dix failles découvertes par divers chercheurs qui couvrent un large éventail de fonctionnalités du client de messagerie.

  • CVE-2021-38503 : restrictions de contournement d'iframe qui autorisent l'exécution de scripts
  • CVE-2021-38504 : user-after-free dans la boîte de dialogue du sélecteur de fichiers, entraînant une corruption de la mémoire et un plantage potentiellement exploitable
  • CVE-2021-3805 : Enregistrement de données sensibles dans le Presse-papiers du Cloud Windows 10, copie des données utilisateur sensibles sur le compte Microsoft de l'utilisateur, augmentant le risque de divulgation d'informations.
  • CVE-2021-38506 : Forcer Thunderbird à passer en mode plein écran sans interaction de l'utilisateur, ouvrant ainsi la voie à l'usurpation d'interface utilisateur et aux attaques de phishing.
  • CVE-2021-38507 : contournez la « Same-Origin-Policy » en exploitant la fonctionnalité de chiffrement opportuniste.
  • CVE-2021-38508 : possibilité de superposer l'invite d'autorisation pour inciter l'utilisateur à accorder une autorisation.
  • CVE-2021-38509 : Spoof the JavaScript alert () dialogue avec un contenu arbitraire.
  • CVE-2021-38510 : contourne les « protections de téléchargement » sur les fichiers .inetloc, permettant l'exécution de code sur macOS.
  • MOZ-2021-0008 : Use-after-free dans l'objet Session HTTP2, entraînant une corruption de la mémoire et éventuellement un plantage exploitable.
  • MOZ-2021-0007 : failles de corruption de mémoire pouvant conduire à l'exécution de code arbitraire.
  • Une vulnérabilité identifiée comme CVE-2021-3805 est particulièrement intéressante car elle est liée au presse-papiers cloud de Windows 10.

    La fonctionnalité Windows 10 Cloud Clipboard a été introduite en 2018 et, si elle est activée, synchronisera les données que vous copiez dans le presse-papiers dans le cloud, de sorte qu'elles soient disponibles sur les autres appareils sur lesquels vous avez un compte.

    Pour empêcher la synchronisation des données sensibles avec le cloud, Microsoft a introduit des formats de presse-papiers spécifiques que Windows ne copierait pas dans le cloud. Cependant, Thunderbird et Mozilla n'utilisaient pas ces formats, permettant potentiellement la synchronisation de données sensibles.

    « Microsoft a introduit une nouvelle fonctionnalité dans Windows 10 connue sous le nom de Cloud Clipboard qui, si elle est activée, enregistrera les données copiées dans le presse-papiers dans le cloud et les rendra disponibles sur d'autres ordinateurs dans certains scénarios », a expliqué Mozilla.

    « Les applications qui souhaitent empêcher l'enregistrement des données copiées dans l'historique du cloud doivent utiliser des formats de presse-papiers spécifiques ; et Firefox avant les versions 94 et ESR 91.3 ne les a pas mis en œuvre. Cela aurait pu entraîner l'enregistrement de données sensibles sur le compte Microsoft d'un utilisateur. »

    En raison de la gravité des défauts ci-dessus, la mise à niveau du client de messagerie populaire vers la version 91.3 ou une version ultérieure doit être effectuée dès que possible.

    Pour passer immédiatement à la dernière version, ouvrez Thunderbird, cliquez sur le menu de l'application et sélectionnez Aide > À propos de Thunderbird . À partir de là, vous aurez la possibilité de télécharger et d'installer la dernière version disponible.

    Ubuntu a également publié un avis de sécurité pour Thunderbird pour les failles qui concernent la distribution Linux, et un package mis à jour a été mis à disposition sur le référentiel stable.

    Mise à niveau vers 91.x en retard

    Les dernières statistiques de Mozilla montrent que seulement 65% des utilisateurs de Thunderbird sont passés à 91.x, le reste utilisant toujours des versions plus anciennes, non prises en charge et désormais vulnérables.

    Il y a un mois, Mozilla a forcé une mise à niveau de 78.x à 91.x, pour s'assurer que tout le monde utilise la dernière version stable du client de messagerie.

    Cependant, en raison de problèmes d'incompatibilité des modules complémentaires entre les deux versions majeures, de nombreux utilisateurs ont choisi de rester sur 78.x, ce qui, du point de vue de la sécurité, devient de plus en plus risqué.

    https://www.bleepingcomputer.com/news/security/mozilla-thunderbird-913-released-to-fix-high-impact-flaws/

    Publicité
    Page : [1] 
    Page 1 sur 1

    Vous devez être connecté pour participer à la discussion.
    Cliquez ici pour vous identifier.

    Vous n'avez pas de compte ? Créez-en un gratuitement !
    Recevoir PC Astuces par e-mail


    La Lettre quotidienne +226 000 inscrits
    Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

    Les bonnes affaires
    Une fois par semaine, un récap des meilleurs offres.

    Les fonds d'écran
    De jolies photos pour personnaliser votre bureau. Une fois par semaine.

    Les nouveaux Bons Plans
    Des notifications pour ne pas rater les bons plans publiés sur le site.

    Les bons plans du moment PC Astuces

    Tous les Bons Plans
    47,40 €SSD externe USB 3.1 PNY Elite CS1050 480 Go à 47,40 €
    Valable jusqu'au 22 Janvier

    RueDuCommerce fait une promotion sur le SSD externe USB 3.1 PNY Elite CS1050 480 Go qui passe à 47,40 € alors qu'on le trouve ailleurs à partir de 62,50 €. Ce SSD externe ultra compact (5,99 x 3,56 x 0,89 cm, 50 grammes) offre des vitesses allant jusqu'à 420 Mo/s en lecture et en écriture. 


    > Voir l'offre
    SOLDESLes soldes d'hiver 2022
    Valable jusqu'au 08 Février

    Les soldes commencent ce Mercredi 12 Janvier dans la plupart des départements Retrouvez ici la liste des pages dédiées à cet évènement chez les différents revendeurs high-tech afin de trouver la bonne affaire qui vous intéresse. Nous vous proposerons aussi les bons plans que nous aurons dénichés.


    > Voir l'offre
    99,99 €Set Tefal Ingenio Emotion tous feux même induction (22 pièces) à 99,99 €
    Valable jusqu'au 24 Janvier

    Cdiscount solde la batterie de cuisine Tefal Ingenio Emotion, tous feux même induction à 99,99 € au lieu de 200 €. Set de 22 pièces - Poêles 22/24/28cm + Casseroles 16/18/20cm - 1,5/2,1/3L + Couvercles - Thermo-Spot® : maîtrise parfaite de la température hermétiques, Sauteuse 24cm, Poêle Wok 26cm, 5 spatules Bienvenue (angle, longue, crêpe, cuillère, louche) + 4 protecteurs + 2 poignées


    > Voir l'offre

    Sujets relatifs
    Une nouvelle fois une disparition de mes comptes Mozilla Thunderbird
    Messages qui disparaissent dans une conversation mail Thunderbird
    Dispartion des comptes et messages dans Mozilla thunderbird
    Une question concernant les dossiers locaux dans thunderbird
    Créer une 2ème adresse mail dans Thunderbird
    Présence de 2 profiles à l'installation dans mozilla thunderbird
    Mozilla sort un patch pour une faille zero-day, mettez Firefox
    Dispartion de tous mes comptes dans mozilla thunderbird
    Mettre des adresses de contacts dans une liste Thunderbird
    Ajout d'une exception de sécurité dans Thunderbird
    Plus de sujets relatifs à Correction d''une faille importante dans Mozilla Thunderbird
     > Tous les forums > Forum Internet et Réseaux