Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mozilla Thunderbird : Deux Vulnérabilités

16/08/2007 18H52
Référence Secunia : SA26096 
Date de publication : 2007-07-18
Dernière mise à jour : 2007-07-26

Risque : Elevé. Niveau 4 sur 5.
Impact : DoS, Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Mozilla Thunderbird 2.x

Référence CVE :
CVE-2007-3735



Description :
Quelques vulnérabilités ont été identifiées dans Mozilla Thunderbird, qui pourrait être exploité pour compromettre un système vulnérable.

1) Une erreur en s'enregistrant une URI handler permet potentiellement d'exécuter du code arbitraire.

Ceci est similaire to:

2) Différentes erreurs existent dans le navigateur et Javascript engine.

Pour plus d'informations voir vulnérabilités #1 et #2 dans:


Solutions :
Mettre à jour en version 2.0.0.5.
http://www.mozilla.com/en-US/thunderbird/


Vulnérabilité découverte par :

1) Greg MacManus, iDefense Labs
2) Rapportée par l'éditeur, à l'origine découvert dans Firefox.
Historique :
2007-07-20: Ajout d'un lien à iDefense et mise à jour credits section.
2007-07-26: Mise à jour de "Solution" section et ajouté additionnelle link.

Référence :
Mozilla:
http://www.mozilla.org/security/announce/2007/mfsa2007-18.html
http://www.mozilla.org/security/announce/2007/mfsa2007-23.html

iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=565


Autres références :

SA25984:
http://secunia.com/advisories/25984/

SA26095:
http://secunia.com/advisories/26095/

http://larholm.com/2007/07/25/mozilla-protocol-abuse




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.