Thunderbird_logo La semaine dernière, une version de maintenance estampillée 2.0.0.12 du navigateur de la Fondation Mozilla était mise en ligne, avec au programme, la correction d'une dizaine de vulnérabilités. Parmi ces trous de sécurité, quatre étaient partagés avec le client de messagerie Thunderbird basé sur le même moteur d'affichage que Firefox 2.0. Une semaine supplémentaire s'est écoulée, une version bêta 3 de Firefox 3 a été publiée mais toujours rien pour Thunderbird 2.0.0.12 dont une version RC1 est pourtant bien présente dans les dépôts Mozilla.

Qualifiées de critiques pour deux d'entre elles, haute (relative au protocole de personnalisation chrome) et modérée pour la dernière, ces vulnérabilités sont exploitables à distance. De type Cross Site Scripting (XSS), élévation de privilèges, corruption de mémoire, via ces failles un attaquant peut provoquer un déni de service, contourner les mesures de sécurité ou encore obtenir des informations sensibles.


Inquiétudes légitimes pour Thunderbird ?
Comme dans les notes de version de Firefox 2.0.0.12, il est bien indiqué que ces vulnérabilités ont également été comblées dans Thunderbird 2.0.0.12, il est aujourd'hui bien légitime de s'interroger sur les raisons d'un tel retard.

Plus les jours avancent et plus les craintes des utilisateurs de voir la Fondation Mozilla se désintéresser complètement du devenir de Thunderbird sont confortées. Après l'annonce en septembre 2007 de la création d'une filiale distincte dédiée au développement et à l'amélioration des logiciels de messagerie et de communication, les nouvelles se font plutôt rares.