Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Mozilla Thunderbird 1.0.6 et versions antérieures.
Résumé
Une vulnérabilité dans Mozilla Thunderbird permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
Un manque de contrôle dans l'analyse des paramètres passés à Mozilla Thunderbird en ligne de commande permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'une adresse réticulaire (URL) malicieusement construite présente dans une application externe.
Remarque : Cette vulnérabilité n'est exploitable que sur des systèmes de type Unix et GNU/Linux.
Solution
Appliquer la mise à jour de sécurité Mozilla Thunderbird 1.0.7 corrigeant cette vulnérabilité (cf. section Documentation).
Documentation
- Site Internet de l'éditeur :
http://www.mozilla.org/products/thunderbird/
- Mise à jour de securité de Mozilla Thunderbird 1.0.7 :
http://www.mozilla.org/products/thunderbird/releases/1.0.7-release-notes.html#download
- Mise à jour de sécurité Fedora Core 3:
http://download.fedora.com/pub/fedora/linux/core/updates/3
- Mise à jour de sécurité Fedora Core 4:
http://download.fedora.com/pub/fedora/linux/core/updates/4
- Bulletin de sécurité Slackware :
http://slackware.com/security/viewer.php?l=slackware-security&y=2005&m=slackware-security.392811
- Bulletin de sécurité Mandriva MDKSA-2005:174 du 06 octobre 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:174
- Référence CVE CAN-2005-2968 :
https://www.cve.org/CVERecord?id=CAN-2005-2968