Mozilla a publié Thunderbird 91.3 pour corriger plusieurs vulnérabilités à fort impact qui peuvent provoquer un déni de service, usurper l’origine, contourner les politiques de sécurité et permettre l’exécution de code arbitraire.
Le déclenchement de la plupart des bugs nouvellement découverts nécessite qu’un utilisateur ouvre un site Web spécialement conçu dans un contexte de navigation, de sorte que l’exploitation est relativement simple.
Multiples défauts de gravité élevée
Mozilla Thunderbird 91.3 corrige dix failles découvertes par divers chercheurs qui couvrent un large éventail de fonctionnalités du client de messagerie.
- CVE-2021-38503 : restrictions de contournement d’iframe qui autorisent l’exécution de scripts
- CVE-2021-38504 : user-after-free dans la boîte de dialogue du sélecteur de fichiers, entraînant une corruption de la mémoire et un plantage potentiellement exploitable
- CVE-2021-3805 : Enregistrement de données sensibles dans le Presse-papiers du Cloud Windows 10, copie des données utilisateur sensibles sur le compte Microsoft de l’utilisateur, augmentant le risque de divulgation d’informations.
- CVE-2021-38506 : Forcer Thunderbird à passer en mode plein écran sans interaction de l’utilisateur, ouvrant ainsi la voie à l’usurpation d’interface utilisateur et aux attaques de phishing.
- CVE-2021-38507 : contournez la « Same-Origin-Policy » en exploitant la fonctionnalité de chiffrement opportuniste.
- CVE-2021-38508 : possibilité de superposer l’invite d’autorisation pour inciter l’utilisateur à accorder une autorisation.
- CVE-2021-38509 : Spoof the JavaScript alert () dialogue avec un contenu arbitraire.
- CVE-2021-38510 : contourne les « protections de téléchargement » sur les fichiers .inetloc, permettant l’exécution de code sur macOS.
- MOZ-2021-0008 : Use-after-free dans l’objet Session HTTP2, entraînant une corruption de la mémoire et éventuellement un plantage exploitable.
- MOZ-2021-0007 : failles de corruption de mémoire pouvant conduire à l’exécution de code arbitraire.
Une vulnérabilité identifiée comme CVE-2021-3805 est particulièrement intéressante car elle est liée au presse-papiers cloud de Windows 10.
La fonctionnalité Windows 10 Cloud Clipboard a été introduite en 2018 et, si elle est activée, synchronisera les données que vous copiez dans le presse-papiers dans le cloud, de sorte qu’elles soient disponibles sur les autres appareils sur lesquels vous avez un compte.
Pour empêcher la synchronisation des données sensibles avec le cloud, Microsoft a introduit des formats de presse-papiers spécifiques que Windows ne copierait pas dans le cloud. Cependant, Thunderbird et Mozilla n’utilisaient pas ces formats, permettant potentiellement la synchronisation de données sensibles.
« Microsoft a introduit une nouvelle fonctionnalité dans Windows 10 connue sous le nom de Cloud Clipboard qui, si elle est activée, enregistrera les données copiées dans le presse-papiers dans le cloud et les rendra disponibles sur d’autres ordinateurs dans certains scénarios », a expliqué Mozilla.
« Les applications qui souhaitent empêcher l’enregistrement des données copiées dans l’historique du cloud doivent utiliser des formats de presse-papiers spécifiques ; et Firefox avant les versions 94 et ESR 91.3 ne les a pas mis en œuvre. Cela aurait pu entraîner l’enregistrement de données sensibles sur le compte Microsoft d’un utilisateur. »
En raison de la gravité des défauts ci-dessus, la mise à niveau du client de messagerie populaire vers la version 91.3 ou une version ultérieure doit être effectuée dès que possible.
Pour passer immédiatement à la dernière version, ouvrez Thunderbird, cliquez sur le menu de l’application et sélectionnez Aide > À propos de Thunderbird. À partir de là, vous aurez la possibilité de télécharger et d’installer la dernière version disponible.
Ubuntu a également publié un avis de sécurité pour Thunderbird pour les failles qui concernent la distribution Linux, et un package mis à jour a été mis à disposition sur le dépôt stable.
Mise à niveau vers 91.x en retard
Les dernières statistiques de Mozilla montrent que seulement 65% des utilisateurs de Thunderbird sont passés à 91.x, le reste utilisant toujours des versions plus anciennes, non prises en charge et désormais vulnérables.
Il y a un mois, Mozilla a forcé une mise à niveau de 78.x à 91.x, pour s’assurer que tout le monde utilise la dernière version stable du client de messagerie.
Cependant, en raison de problèmes d’incompatibilité des modules complémentaires entre les deux versions majeures, de nombreux utilisateurs ont choisi de rester sur 78.x, ce qui, du point de vue de la sécurité, devient de plus en plus risqué.