CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA11007
Vulnérabilités multiples dans Mozilla Thunderbird
Mis à jour: 07/05/2018
Date de la détection
?
04/30/2017
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Mozilla Thunderbird. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour provoquer un déni de service, obtenir des privilèges, exécuter du code arbitraire, lire et écrire des fichiers locaux.

Voici une liste complète des vulnérabilités:

  1. Une vulnérabilité use-after-free dans SMIL peut être exploitée à distance pour provoquer un déni de service;
  2. Une vulnérabilité use-after-free lors du traitement des transactions dans l'éditeur peut être exploitée à distance pour provoquer un déni de service;
  3. Une vulnérabilité d'écriture hors limites dans la bibliothèque Graphite 2 peut être exploitée à distance pour provoquer un déni de service;
  4. Une vulnérabilité d'écriture hors limite dans le décodage Base64 dans la bibliothèque NSS (Network Security Services) peut être exploitée à distance pour provoquer un déni de service;
  5. Une vulnérabilité de débordement de tampon dans WebGL peut être exploitée à distance pour provoquer un déni de service;
  6. Vulnérabilité de confusion d'origine liée au rechargement de données isolées: l'URL text / html peut être exploitée à distance pour exécuter une attaque XSS (cross-site scripting);
  7. Une vulnérabilité use-after-free lors du traitement de focus peut être exploitée à distance pour provoquer un déni de service;
  8. Une vulnérabilité use-after-free dans la sélection d'entrée de texte peut être exploitée à distance pour provoquer un déni de service;
  9. Une vulnérabilité use-after-free dans la sélection de trames peut être exploitée à distance pour provoquer un déni de service;
  10. Une vulnérabilité use-after-free dans nsAutoPtr lors du traitement XSLT peut être exploitée à distance pour provoquer un déni de service;
  11. Une vulnérabilité use-after-free dans txExecutionState destructor liée au traitement XSLT peut être exploitée à distance pour provoquer un déni de service;
  12. La vulnérabilité use-after-free dans nsTArray Length () pendant le traitement XSLT peut être exploitée à distance pour provoquer un déni de service;
  13. La vulnérabilité d'utilisation après libération avec sélection pendant les événements de défilement peut être exploitée à distance pour provoquer un déni de service;
  14. La vulnérabilité «use-after-free» lors des changements de style lors de la manipulation d'éléments DOM peut être exploitée à distance pour provoquer un déni de service;
  15. Une vulnérabilité de corruption de mémoire avec l'accessibilité et la manipulation DOM peut être exploitée à distance pour provoquer un déni de service;
  16. Une vulnérabilité d'écriture hors limite lors du décodage BinHex peut être exploitée à distance pour provoquer un déni de service;
  17. Une vulnérabilité de débordement de tampon lors de l'analyse d'un contenu au format application / http-index peut être exploitée à distance pour provoquer un déni de service ou obtenir une information sensible;
  18. Une vulnérabilité de lecture hors limites lorsque des trames HTTP / 2 DATA sont envoyées avec des données incorrectes peut être exploitée à distance pour provoquer un déni de service;
  19. Une vulnérabilité de lecture hors limites lors du traitement de glyphes peut être exploitée à distance pour provoquer un déni de service ou obtenir une information sensible;
  20. Une vulnérabilité de lecture hors limites lors du traitement du contenu SVG dans ConvolvePixel et pendant le traitement des glyphes peut être exploitée à distance pour provoquer un déni de service ou obtenir des informations sensibles;
  21. Plusieurs vulnérabilités de lecture hors limites dans la bibliothèque Libevent peuvent être exploitées à distance pour provoquer un déni de service;
  22. Les débordements de tampon potentiels multiples dans le code généré par flex peuvent être exploités à distance pour éventuellement provoquer un déni de service;
  23. Plusieurs vulnérabilités de corruption de la mémoire, dues à des bogues de sécurité de la mémoire, peuvent être exploitées à distance pour exécuter du code arbitraire;
  24. Une corruption de mémoire potentielle survenant lors du dessin du contenu Skia en dehors des limites d'une région de découpage peut être exploitée à distance, probablement pour provoquer un déni de service;
  25. Une mauvaise gestion de l'échappement sandbox peut être exploitée à distance via le sélecteur de fichiers via des chemins relatifs pour contourner les restrictions de sécurité et obtenir des privilèges (accès en lecture seule au système de fichiers local);
  26. Une vulnérabilité inconnue peut être exploitée à distance via l'interaction de l'utilisateur sur la barre d'adresse et l'événement onblur pour spoof addressbar;
  27. Un traitement incorrect des mises en page et des manipulations du texte unicode bidirectionnel combiné aux animations CSS peut être exploité à distance pour provoquer un déni de service;
  28. Une vulnérabilité liée au contenu de l'application d'analyse / au format http-index peut être exploitée à distance, peut-être pour provoquer un déni de service ou exécuter du code arbitraire;
  29. Une génération incorrecte de numéros DRBG dans la bibliothèque NSS (Network Security Services) peut être exploitée à distance, peut-être pour provoquer un déni de service ou exécuter du code arbitraire.

NB: Cette vulnérabilité n'a pas d'évaluation CVSS publique, donc la notation peut être changée par le temps.

NB: À ce moment, Mozilla a réservé des numéros CVE pour ces vulnérabilités. L'information peut être changée bientôt.

Produits concernés

Mozilla Thunderbird avant 52.1

Solution

Mettre à jour vers la dernière version
Télécharger Mozilla Thunderbird

Fiches de renseignement originales

MFSA 2017-13

Impacts
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Produits liés
Mozilla Thunderbird
CVE-IDS
?

CVE-2017-5429
CVE-2017-5430
CVE-2017-5467
CVE-2017-5462
CVE-2017-5451
CVE-2017-5449
CVE-2017-5445
CVE-2017-5469
CVE-2017-5454
CVE-2017-5465
CVE-2017-5447
CVE-2017-5446
CVE-2017-5444
CVE-2017-5443
CVE-2017-5464
CVE-2017-5442
CVE-2017-5441
CVE-2017-5440
CVE-2017-5439
CVE-2017-5438
CVE-2017-5460
CVE-2017-5432
CVE-2017-5434
CVE-2017-5466
CVE-2017-5459
CVE-2017-5436
CVE-2017-5435
CVE-2017-5433
CVE-2017-5461
CVE-2016-10197
CVE-2016-10196
CVE-2016-10195
CVE-2016-6354


Lien vers l'original