S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 08 septembre 2010
N^o CERTA-2010-AVI-419

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Multiples vulnérabilités dans Mozilla Thunderbird

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-419

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2010-AVI-419
Titre	Multiples vulnérabilités dans Mozilla Thunderbird
Date de la première version	08 septembre 2010
Date de la dernière version	-
Source(s)	Note de version de Thunderbird v3.1.3
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance ;
déni de service à distance ;
contournement de la politique de sécurité ;
injection de code indirecte.

2 Systèmes affectés

Mozilla Thunderbird versions antérieures à 3.1.3 et 3.0.7.

3 Résumé

De multiples vulnérabilités dans Mozilla Thunderbird permettent, entre autre, l'exécution de code arbitraire à distance.

4 Description

Plusieurs vulnérabilités critiques ont été découvertes dans Mozilla Thunderbird, permettant à une personne malveillante d'exécuter du code arbitraire à distance, d'accéder indûment à des informations sur le poste de l'utilisateur, de mener des attaques de type injection de code indirecte (XSS).

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les versions 3.1.3 et 3.0.7 corrigent ces problèmes.

6 Documentation

Avis de sécurité Thunderbird branche 3.1 :

http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.3

Avis de sécurité Thunderbird branche 3.0 :

http://www.mozilla.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.7

Référence CVE CVE-2010-2760 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2760

Référence CVE CVE-2010-2762 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2762

Référence CVE CVE-2010-2763 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2763

Référence CVE CVE-2010-2764 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2764

Référence CVE CVE-2010-2765 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2765

Référence CVE CVE-2010-2766 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2766

Référence CVE CVE-2010-2767 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2767

Référence CVE CVE-2010-2768 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2768

Référence CVE CVE-2010-2769 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2769

Référence CVE CVE-2010-2770 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2770

Référence CVE CVE-2010-3166 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3166

Référence CVE CVE-2010-3167 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3167

Référence CVE CVE-2010-3168 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3168

Référence CVE CVE-2010-3169 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3169

Gestion détaillée du document

08 septembre 2010: version initiale.

CERTA
2012-01-04