Mozilla a publié des mises à jour de sécurité pour plusieurs vulnérabilités découvertes dans Mozilla Thunderbird, qui pourraient permettre à un acteur de menace de provoquer une exécution de code arbitraire, un déni de service et une violation de l’intégrité et la confidentialité des données.

Les failles ont été corrigées dans Thunderbird version 91.7 et connues sous les noms :

• CVE-2022-26383 : Une vulnérabilité avec un impact élevé d’usurpation de fenêtre de navigateur en utilisant le mode plein écran ;
• CVE-2022-26384 : Une faille de haute gravité de contournement de la sandbox « iframe allow-script », cela conduit à l’exécution de code JavaScript ;
• CVE-2022-26387 : Un bogue relatif au temps d'utilisation lors de la vérification des signatures de modules complémentaires ;
• CVE-2022-26381 : Un attaquant peut provoquer une utilisation après libération en forçant une refonte du texte dans un objet SVG, ce qui aurait entraîné un plantage potentiellement exploitable ;
• CVE-2022-26386 : Fichiers temporaires téléchargés dans /tmp et accessibles par d'autres utilisateurs locaux.

Il est fortement recommandé d’appliquer les mises à jour afin d’atténuer les menaces possibles