D'une version 2.0.0.19, Thunderbird fait l'impasse sur une version 2.0.0.20 pour passer directement à la version 2.0.0.21. Une publication qui intervient deux semaines après celle de Firefox 3.0.7 alors qu'il s'agit de corriger les mêmes vulnérabilités de sécurité.
Cette version 2.0.0.21 du client de messagerie électronique de Mozilla n'a en effet pour seul but que de venir combler trois vulnérabilités jadis partagées avec son pendant pour la navigation Web, essentiellement en raison d'un moteur de rendu commun : Gecko.
Parmi ces deux vulnérabilités, deux sont qualifiées de critiques et pour l'une relative à un problème de corruption de mémoire avec le risque d'exécution de code arbitraire lors de la lecture d'un message avec JavaScript activé. L'autre vulnérabilité critique fait référence à un problème au niveau d'une bibliothèque logicielle externe utilisée par Mozilla pour le rendu des images au format PNG.
La troisième vulnérabilité de sécurité à l'indice de dangerosité haut, met également en jeu l'activation de JavaScript lors de la lecture d'un message. Elle peut être exploitée dans le cadre d'une attaque de type cross-domain. Un site malveillant peut voler des données confidentielles d'un utilisateur identifié sur un site qui a été redirigé.
Si l'on peut reprocher à Mozilla d'avoir tardé pour proposer aux utilisateurs sa version de maintenance de Thunderbird, il faut aussi prendre en considération que par défaut, JavaScript n'est pas exécuté dans le courriel. Mozilla recommande évidemment de ne pas activer cette exécution.
Télécharger Thunderbird 2.0.0.21 (Windows, Mac OS X, Linux)
Les vulnérabilités corrigées
