Thunderbird Linux/Unix: faille critique

Mozilla Thunderbird présenterait sous Linux/Unix la même faille que Firefox.

Une faille récemment identifiée sur la navigateur Mozilla Firefox sous Linux laissait ce dernier vulnérable à des attaques extérieures. Il apparaît aujourd'hui que son cousin, le client e-mail Mozilla Thunderbird, lui aussi basé autour de l'architecture de rendu graphique Gecko, présenterait les mêmes risques.

En effet, la firme danoise de sécurité informatique Secunia vient de publier un bulletin d'alerte qualifié d'extrêmement critique quant à la manière dont Thunderbird exécute les commandes "mail-to" sous Linux.

En cliquant sur un lien "mail-to" dans une page Web (ces liens se présentent sous la forme d'une adresse e-mail soulignée comme un hyper-lien), vous déclenchez l'ouverture d'une fenêtre de composition de nouvel e-mail dans votre client e-mail par défaut.

Dans le cas de Thunderbird, il est possible, si le lien renferme un code malicieux, de déclencher des commandes non souhaitées (et non souhaitables!) grâce à la fonction "backticks" de Linux: en incluant entre deux apostrophes (backticks en anglais) une ligne de commande, celle-ci sera interprétée par le shell (surcouche logicielle) de Linux (ou d'Unix) comme une commande valide, avec les conséquences fâcheuses que l'on peut imaginer.

Mozilla Firefox 1.0.7, sorti récemment en français (voir notre news) et la Suite Mozilla 1.7.12 corrigent partiellement ce défaut, mais Thunderbird est encore affilié à la version précédente de Firefox, la 1.0.6, qui était sensible à cette faille; en conséquence, Secunia conseille de ne pas utiliser Thunderbird comme client mail par défaut. Une autre solution, pour les afficionados, serait de faire un copier-coller du lien "mail-to", et de s'assurer qu'il ne contient aucune commande cachée.

A noter que seules les versions Linux/Unix de Thunderbird sont concernées.