Thunderbird 2.0.0.23 : mise à jour de sécurité

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Thunderbird 2.0.0.23 : mise à jour de sécurité

Publié le 21 août 2009 à 09:21 par Jérôme G.

Lire sur mobile

Une version 2.0.0.23 du client de courrier électronique multiplaforme de Mozilla est proposée au téléchargement afin de résoudre un unique problème de sécurité.

Une nouvelle version de Thunderbird est en ligne. Une version de maintenance estampillée 2.0.0.23 avec pour unique objectif de corriger une vulnérabilité de sécurité. Qualifiée de critique, elle a été découverte par Dan Kaminsky de IOActive dont la notoriété auprès du grand public a été acquise suite à la mise au jour d'une vulnérabilité dans le protocole DNS qui avait donné lieu l'été 2008 à une vaste diffusion de correctifs.

Pour le cas de Thunderbird 2.0.0.23, il s'agit de corriger un problème relatif au traitement des noms de domaine dans les certificats SSL entre les clients SSL et les autorités de certification. Une vulnérabilité rapportée début août qui a déjà été corrigée dans Firefox avec la publication des versions 3.0.13 et 3.5.2.

À ce sujet, le CERT de l'administration française avait publié un bulletin d'alerte en décrivant ladite vulnérabilité comme suit :

" La différence de traitement des noms d'hôtes contenant un caractère null illégal par les autorités de certification, lors de la demande de certificat par le serveur, et par le navigateur, lors de l'établissement d'une session SSL, permet à un utilisateur malveillant de lire ou de modifier des données dans une transaction sécurisée par SSL. Cette vulnérabilité permet à utilisateur malveillant d'exécuter du code arbitraire à distance au travers du système de mise à jour. "

La version 2.0.0.23 de Thunderbird peut être téléchargée depuis cette page pour l'ensemble des environnements pris en charge.