CERTA-2008-AVI-558
Vulnerability from certfr_avis - Published: 2008-11-20 - Updated: 2008-11-20
Plusieurs vulnérabilités ont été identifiées dans le client de messagerie Mozilla Thunderbird. L'exploitation de ces dernières peut provoquer la divulgation de données confidentielles, un contournement de la politique de sécurité mise en place au niveau du navigateur, voire l'exécution du code arbitraire sur le système.
Description
Plusieurs vulnérabilités ont été identifiées dans le client de messagerie Mozilla Thunderbird. Certaines sont semblables à celles corrigées dans la dernière version du navigateur Mozilla Firefox. Elles sont présentées dans l'avis CERTA-2008-AVI-555 et le bulletin d'actualité CERTA-2008-ACT-046.
Une autre vulnérabilité permettrait à du code JavaScript inséré dans un courriel malveillant d'accéder à des informations confidentielles par le biais des propriétés .documentURI et .textContent.
Solution
Se référer aux bulletins de sécurité de Mozilla pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
| Vendor | Product | Description | ||
|---|---|---|---|---|
| Mozilla | Thunderbird | Mozilla Thunderbird, pour les versions antérieures à 2.0.0.18. |
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Mozilla Thunderbird, pour les versions ant\u00e9rieures \u00e0 2.0.0.18.",
"product": {
"name": "Thunderbird",
"vendor": {
"name": "Mozilla",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le client de\nmessagerie Mozilla Thunderbird. Certaines sont semblables \u00e0 celles\ncorrig\u00e9es dans la derni\u00e8re version du navigateur Mozilla Firefox. Elles\nsont pr\u00e9sent\u00e9es dans l\u0027avis CERTA-2008-AVI-555 et le bulletin\nd\u0027actualit\u00e9 CERTA-2008-ACT-046.\n\nUne autre vuln\u00e9rabilit\u00e9 permettrait \u00e0 du code JavaScript ins\u00e9r\u00e9 dans un\ncourriel malveillant d\u0027acc\u00e9der \u00e0 des informations confidentielles par le\nbiais des propri\u00e9t\u00e9s .documentURI et .textContent.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de Mozilla pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2008-11-20T00:00:00",
"last_revision_date": "2008-11-20T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla 2008/mfsa2008-56 du 12 novembre 2008 :",
"url": "http://www.mozilla.org/security/announce/2008/mfsa2008-56.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla 2008/mfsa2008-52 du 12 novembre 2008 :",
"url": "http://www.mozilla.org/security/announce/2008/mfsa2008-52.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla 2008/mfsa2008-59 du 19 novembre 2008 :",
"url": "http://www.mozilla.org/security/announce/2008/mfsa2008-59.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla 2008/mfsa2008-48 du 12 novembre 2008 :",
"url": "http://www.mozilla.org/security/announce/2008/mfsa2008-48.html"
},
{
"title": "Bulletin d\u0027actualit\u00e9 CERTA CERTA-2008-ACT-046 du 14 novembre 2008\u00a0:",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-046.pdf"
},
{
"title": "Document du CERTA CERTA-2008-AVI-555 du 12 novembre 2008 :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-555/index.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla 2008/mfsa2008-55 du 12 novembre 2008 :",
"url": "http://www.mozilla.org/security/announce/2008/mfsa2008-55.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla 2008/mfsa2008-58 du 12 novembre 2008 :",
"url": "http://www.mozilla.org/security/announce/2008/mfsa2008-58.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla 2008/mfsa2008-50 du 12 novembre 2008 :",
"url": "http://www.mozilla.org/security/announce/2008/mfsa2008-50.html"
}
],
"reference": "CERTA-2008-AVI-558",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2008-11-20T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans le client de\nmessagerie Mozilla Thunderbird. L\u0027exploitation de ces derni\u00e8res peut\nprovoquer la divulgation de donn\u00e9es confidentielles, un contournement de\nla politique de s\u00e9curit\u00e9 mise en place au niveau du navigateur, voire\nl\u0027ex\u00e9cution du code arbitraire sur le syst\u00e8me.\n",
"title": "Vuln\u00e9rabilit\u00e9s dans Mozilla Thunderbird",
"vendor_advisories": [
{
"published_at": null,
"title": "Changement de version Thunderbird du 19 novembre 2008",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…