Faille de sécurité pour Thunderbird

Le par  |  9 commentaire(s) Source : Zone-h
thunderbird logo

Le logiciel de messagerie électronique Thunderbird est affecté par une faille de sécurité qualifiée de modérée.

Le logiciel de messagerie électronique Thunderbird est affecté par une faille de sécurité qualifiée de modérée.


Thunderbird logoThunderbird, le logiciel libre de messagerie électronique de la Fondation Mozilla, est affecté par une faille de sécurité qualifiée de modérée.
Selon Andreas Sandblad, de la société Secunia Research, qui est à l'origine de la découverte de cette faille, cette dernière peut être exploitée par une personne malicieuse pour inciter des utilisateurs à exécuter des programmes arbitraires, et donc compromettre la sécurité de votre ordinateur.

Petite précision, seules les versions sous Windows sont affectées.

Les versions vulnérables sont :
  • Mozilla Thunderbird 1.0.2
  • Mozilla Thunderbird 1.0.6
  • Mozilla Thunderbird 1.0.7

Mais d'autres versions pourraient être également vulnérables (étude en cours).

"La vulnérabilité est due à l'affichage incorrect des pièces jointes dans les mails. Celle-ci peut être exploitée pour spoofer l'extension de fichier et l'icône associée au type de fichier par l'intermédiaire d'une combinaison des noms de fichier excessivement longs contenant des espaces et des en-têtes "Content-Type" ne correspondant pas à l'extension de fichier.

Note: Les pièces jointes peuvent être sauvegardées en glissant-déposant une pièce jointe, ou en utilisant les fonctionnalités "Enregistrer sous..." ou "Enregistrer tout...". Pour les fichiers sur le bureau, l'icone peut être camouflée (spoofée) s'il s'agit d'un fichier ".exe" ou ."lnk" par exemple. "



Après une faille concernant Outlook, annoncée ce matin même, Thunderbird est donc lui aussi affecté, montrant bien ainsi que personne n'est à l'abri.

Conseil : à priori, la version 1.5 de Thunderbird ne semble pas affectée, pensez donc à migrer ;)


Télécharger Thunderbird 1.5
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #80678
<TrollMode=On>
Petite précision, seules les versions sous Windows sont affectées.

<TrollMode=Off>
Le #80688
Pourquoi parler de cette faille, alors qu'elle a été corrigé dans le code source de Thunderbird courant... juillet 2005 !

Dans le rapport du site Zone-h, on a un lien vers le bug suivant :

https://bugzilla.mozilla.org/show_bug.cgi'id=300246

Et le commentaire annonçant l'ajout du correctif dans le code source :

https://bugzilla.mozilla.org/show_bug.cgi'id=300246#c7

" ------- Comment #7 From Scott MacGregor 2005-07-27 10:14 PST [reply] -------

Dan, I've checked this in and we now get rid of the extra white space and we
crop the file name so you always see the extension. Let me know if there's more
work you'd like to see here. "

Y a pas à dire, c'est de l'info fraiche de chez fraiche
Le #80689
Et pour plus d'info, le rapport originel de sécunia :

http://secunia.com/secunia_research/2005-22/advisory/

"5) Time Table

01/07/2005 - Initial vendor notification.
10/07/2005 - Vendor confirms the vulnerability.
27/07/2005 - Vulnerability fixed in the CVS repository.
12/01/2006 - Thunderbird 1.5 released.
17/01/2006 - Public disclosure."

26 jours entre la découverte du problème et sa correction. Pas si mal que cela, non '
Le #80693
Ouais, sauf qu'à mon boulot, la version 1,5 se vautre lamentablement à chaque tentative du server... Alors que la version 1.0.7 est parfaitement opérationnelle...
Et comme je ne veux pas retourner sous Outlook...
Le #80694
change de boulot
Le #80717
Qwertay

Le #80745
Pauvre oiseau péteur...
Le #80797
"Après une faille concernant Outlook, annoncée ce matin même, Thunderbird est donc lui aussi affecté, montrant bien ainsi que personne n'est à l'abri."

Pour une fois que quelqu'un le dit.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]