Thunderbird_logo Entre l'annonce de sa sortie et sa publication effective, plus de deux semaines se sont écoulées. La nouvelle mouture de Thunderbird est enfin là, intégrant un ensemble de correctifs pour combler cinq vulnérabilités de sécurité.


Cinq vulnérabilités comblées
Parmi ces vulnérabilités, quatre sont partagées avec l'ancienne version 2.0.0.11 de Firefox, le navigateur Web basé sur le même moteur d'affichage que Thunderbird. Exploitables à distance, elles sont de type Cross Site Scripting (XSS), élévation de privilèges ou encore corruption de mémoire, et via ces failles un attaquant peut provoquer un déni de service, contourner les mesures de sécurité, obtenir des informations sensibles.

Une cinquième vulnérabilité qui est jugée comme la plus critique, est propre à Thunderbird. Découverte par la société de sécurité iDefense, c'est une vulnérabilité de type heap buffer overflow qu'un attaquant distant peut exploiter pour exécuter du code arbitraire après consultation par l'utilisateur d'un courrier électronique avec un corps MIME de message externe.

Cette version de maintenance de Thunderbird estampillée 2.0.0.12 est toujours publiée sous l'égide de la Fondation Mozilla. Rappelons que pour le développement de Thunderbird 3, une nouvelle filiale baptisée Mozilla Messaging a officiellement été lancée la semaine dernière.