Mozilla met à disposition la nouvelle version de Thunderbird 91.3 , cette version a pour but de corriger 10 vulnérabilités à fort impact qui peuvent provoquer un déni de service, usurper une identité, contourner les politiques de sécurité et permettre l'exécution de code arbitraire.

Ces failles ne sont pas exploitables par le biais du courrier électronique dans le produit Thunderbird car les scripts sont désactivés lors de la lecture du courrier, mais elles représentent des risques potentiels dans des contextes de navigateur.

Les vulnérabilités corrigées sont listées ci-dessous :

· CVE-2021-38503 : contournement des restrictions iframe permettant l'exécution de scripts ;

· CVE-2021-38504 : user-after-free dans la boîte de dialogue du sélecteur de fichiers, entraînant une corruption de la mémoire et un plantage potentiellement exploitable ;

· CVE-2021-38505 : enregistrement des données sensibles du Presse-papiers Cloud de Windows 10, la copie des données sensibles de l'utilisateur sur le compte Microsoft et augmentation du risque de divulgation d'informations ;

· CVE-2021-38506 : Cette faille oblige Thunderbird à passer en mode plein écran sans interaction de l'utilisateur, préparant le terrain pour des attaques d'usurpation d'interface utilisateur et de phishing ;

· CVE-2021-38507 : Contournement de la "Same-Origin-Policy" en exploitant la fonction Opportunistic Encryption;

· CVE-2021-38508 : Possibilité de superposer l'invite de permission pour inciter l'utilisateur à accorder n'importe quelle permission ;

· CVE-2021-38509 : Falsification de la boîte de dialogue JavaScript alert () avec un contenu arbitraire ;

· CVE-2021-38510 : Contournement des "Protections de téléchargement" sur les fichiers. inetloc, permettant l'exécution de code sur macOS ;

· MOZ-2021-0008 : Use-after-free dans l'objet HTTP2 Session, conduisant à une corruption de mémoire et éventuellement à un crash exploitable ;

· MOZ-2021-0007 : Une corruption de mémoire qui peut conduire à une exécution de code arbitraire.

Tous les utilisateurs de Mozilla Thunderbird sont invités à passer à la version 91.3, afin de se protéger contre les risques potentiels de ces vulnérabilités.