Thunderbird Linux/Unix: faille critique

Le par  |  11 commentaire(s) Source : Information Week

Mozilla Thunderbird présenterait sous Linux/Unix la même faille que Firefox.

Mozilla Thunderbird présenterait sous Linux/Unix la même faille que Firefox.

Une faille récemment identifiée sur la navigateur Mozilla Firefox sous Linux laissait ce dernier vulnérable à des attaques extérieures. Il apparaît aujourd'hui que son cousin, le client e-mail Mozilla Thunderbird, lui aussi basé autour de l'architecture de rendu graphique Gecko, présenterait les mêmes risques.

En effet, la firme danoise de sécurité informatique Secunia vient de publier un bulletin d'alerte qualifié d'extrêmement critique quant à la manière dont Thunderbird exécute les commandes "mail-to" sous Linux.

En cliquant sur un lien "mail-to" dans une page Web (ces liens se présentent sous la forme d'une adresse e-mail soulignée comme un hyper-lien), vous déclenchez l'ouverture d'une fenêtre de composition de nouvel e-mail dans votre client e-mail par défaut.

Dans le cas de Thunderbird, il est possible, si le lien renferme un code malicieux, de déclencher des commandes non souhaitées (et non souhaitables!) grâce à la fonction "backticks" de Linux: en incluant entre deux apostrophes (backticks en anglais) une ligne de commande, celle-ci sera interprétée par le shell (surcouche logicielle) de Linux (ou d'Unix) comme une commande valide, avec les conséquences fâcheuses que l'on peut imaginer.

Mozilla Firefox 1.0.7, sorti récemment en français (voir notre news) et la Suite Mozilla 1.7.12 corrigent partiellement ce défaut, mais Thunderbird est encore affilié à la version précédente de Firefox, la 1.0.6, qui était sensible à cette faille; en conséquence, Secunia conseille de ne pas utiliser Thunderbird comme client mail par défaut. Une autre solution, pour les afficionados, serait de faire un copier-coller du lien "mail-to", et de s'assurer qu'il ne contient aucune commande cachée.

A noter que seules les versions Linux/Unix de Thunderbird sont concernées.



Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #61014
[mauvaisefois ]
De toute facon c'est toujour mieux qu'un outlook express.
Et si on un vrais linuxiens(comme moi) on utilise un client mail en ligne de commande comme le savent tous les windowsiens
[/mauvaisefois ]
Esperons que ce serat vite corrigé même si pour le moment la faille n'est pas utilisé(et mon firefox lance toujour evolution et non thunderbird avec mailto ).
Le #61019
Teu, teu, teu... Il faut faire attention aux termes qu'on utilise... Pour un logiciel libre, on ne parle pas de faille mais de fonctionalité, c'est pas pareil !!!
Le #61023
C'est super violent comme faille, et très facile à exploiter ! Imaginez un peu qu'on fasse un lien "mailto:`rm -rf ~/`" : compte vidé...

Heureusement que les utilisateurs Linux s'y connaissent plutôt bien en sécurité et ne cliquent pas sur tout ce qui bouge, parce qu'une faille aussi énorme aurait fait des ravages sous Windows.

Comme quoi même sans ActiveX, buffer overflow et autres techniques compliquées, y'a moyen de bousiller un compte utilisateur.
Le #61036
Big Bilou :
Le #61063
ou en effet c est une vilaine faille, mais ca sera corrige tres vite, pas comme les failles de outlook <img src="/img/emo/cool.gif" alt="8:" />
Le #61064
Les faille n'existent pas que sous windows faut arrêter là. Bizarre j'entends pas tux
Le #61081
@freeman
"mais ca sera corrige tres vite, pas comme les failles de outlook"
Mouais... La faille est connue depuis le 6 septembre et toujours pas bouchée pour Thunderbird, plutôt bof question réactivité.

D'autant plus étrange que cette faille de débutant est vraiment critique, car très simple à exploiter et donnant un accès *complet* au compte utilisateur. J'ai pas le souvenir d'une faille aussi grosse dans Outlook...
Le #61084
backticks ' j'ai toujours entendu parler de double-quote
Le #61085
Euh, Wiz... double-quote, c'est pour guillemets

""No comment here
Le #61099
Pour l'avoir testé, chez moi ca passe pas, ca doit étre pour la version officiels les version incluent dans les distribution sont recompilé et utilient souvent leurs propres script.

Bref vue le nombre d'utilisateur de la version officiels sous linux, il ne vat pas avoir grand monde qui vat utilisé cette faille pour attaqué une minorité("Mozilla-firefox officiel") d'une minorité(linux, mais on progresse, il y'a pas mal de nouveau qui sont séduit) qui d'habitude a tendance a ne pas cliqué n'importe où sans savoir.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]