Mozilla Thunderbird 91.3 corrige 10 failles de sécurité importantes
Mozilla a publié une nouvelle version de son client de messagerie Thunderbird, qui passe en version 91.3, dans le but de corriger de 10 failles de sécurité importantes. Ces failles peuvent permettre à l'attaquant d'effectuer un déni de service sur la machine cible, mais aussi d'exécuter du code arbitraire ou d'outrepasser les politiques de sécurité.
Ces failles sont particulièrement dangereuses, car l'exploitation s'avère assez simple et nécessite l'utilisation d'une méthode très courante. En effet, il suffit de mettre en ligne une page Web piégée et de faire en sorte que l'utilisateur accède à cette page.
Thunderbird 91.3 est une version importante puisqu'elle permet de corriger 10 failles de sécurité, ce qui n'est pas rien. Voici les références associées à ces 10 failles : CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, CVE-2021-38508, CVE-2021-38509, CVE-2021-38510, MOZ-2021-0008 et MOZ-2021-0007.
Par exemple, la faille CVE-2021-38503 permet à l'attaquant d'outrepasser les restrictions liées aux iframes et donc d'exécuter un script malveillant sur la machine. Quant à la faille CVE-2021-38505, elle touche directement Thunderbird sur Windows 10 et la fonctionnalité Cloud Clipboard du système.
Si vous utilisez Thunderbird, il est recommandé d'installer cette mise à jour sans attendre. D'ailleurs, Mozilla en profite pour rappeler que seulement 65% de ses utilisateurs ont installé une version 91.X de Thunderbird. Cela signifie que les autres utilisateurs ont une version obsolète, plus supportée et vulnérable du client de messagerie. D'ailleurs, le mois dernier Mozilla a même tenté de forcer la mise à niveau vers Thunderbird 91.X auprès de ses utilisateurs.
Retrouvez le bulletin de sécurité de Mozilla sur cette page.
Êtes-vous plutôt dans la team Thunderbird ou la team Outlook ?
