Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- Les versions antérieures à 2.0.0.9.
Résumé
Plusieurs vulnérabilités mentionnées par ailleurs dans l'avis CERTA-2007-AVI-446 ont été corrigés dans une nouvelle version de Mozilla Thunderbird.
Description
Le CERTA a présenté dans l'avis CERTA-2007-AVI-446 plusieurs vulnérabilités associées aux produits Mozilla. Celles-ci ont été officiellement corrigées dans la version 2.0.0.9 de Mozilla Thunderbird. Elles concernent une mauvaise gestion des URI (Uniform Resource Identifier) et un dysfonctionnement pouvant provoquer une corruption de la mémoire.
Solution
Se référer aux bulletins de sécurité de l'éditeur Mozilla pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Document du CERTA CERTA-2007-AVI-446 du 19 octobre 2007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-446/index.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-29 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-29.html
- Bulletin de sécurité de la fondation Mozilla MFSA2007-36 du 18 octobre 2007 :
http://www.mozilla.org/security/announce/2007/mfsa2007-36.html
- Référence CVE CVE-2007-4841 :
https://www.cve.org/CVERecord?id=CVE-2007-4841
- Référence CVE CVE-2007-AVI-5339 :
https://www.cve.org/CVERecord?id=CVE-2007-AVI-5339
- Référence CVE CVE-2007-5340 :
https://www.cve.org/CVERecord?id=CVE-2007-5340