Thunderbird Linux/Unix: faille critique

Mozilla Thunderbird présenterait sous Linux/Unix la même faille que Firefox.

Une faille récemment identifiée sur la navigateur Mozilla Firefox sous Linux laissait ce dernier vulnérable à des attaques extérieures. Il apparaît aujourd'hui que son cousin, le client e-mail Mozilla Thunderbird, lui aussi basé autour de l'architecture de rendu graphique Gecko, présenterait les mêmes risques.

En effet, la firme danoise de sécurité informatique Secunia vient de publier un bulletin d'alerte qualifié d'extrêmement critique quant à la manière dont Thunderbird exécute les commandes "mail-to" sous Linux.

En cliquant sur un lien "mail-to" dans une page Web (ces liensse présentent sous la forme d'une adresse e-mail soulignée comme unhyper-lien), vous déclenchez l'ouverture d'une fenêtre de compositionde nouvel e-mail dans votre client e-mail par défaut.

Dans le cas de Thunderbird, il est possible, si le lien renferme uncode malicieux, de déclencher des commandes non souhaitées (et nonsouhaitables!) grâce à la fonction "backticks" de Linux: en incluantentre deux apostrophes (backticks en anglais) une ligne de commande,celle-ci sera interprétée par le shell (surcouche logicielle) de Linux(ou d'Unix) comme une commande valide, avec les conséquences fâcheusesque l'on peut imaginer.

Mozilla Firefox 1.0.7, sorti récemment en français (voir notre news) et la Suite Mozilla 1.7.12 corrigent partiellement ce défaut, mais Thunderbird est encore affilié à la version précédente de Firefox, la 1.0.6,qui était sensible à cette faille; en conséquence, Secunia conseille dene pas utiliser Thunderbird comme client mail par défaut. Une autresolution, pour les afficionados, serait de faire un copier-coller du lien "mail-to", et de s'assurer qu'il ne contient aucune commande cachée.

A noter que seules les versions Linux/Unix de Thunderbird sont concernées.