Vulnérabilité dans ThunderBird

Date de publication : 29/09/2022

CVE-2020-26970[Score CVSS v3 : 8.8] : Une vulnérabilité a été découverte dans le logiciel ThunderBird. Lorsque ce dernier vérifie le statut d’un serveur SMTP (courriel), il inscrit un entier dans une position donnée de sa pile mémoire, l’espace alloué est d’une taille fixe de 1 octet. Selon les types d’architectures de processeur et de dispositions des piles, la valeur allouée au statut du serveur peut excéder 1 octet ce qui peut mener à un débordement de pile. Un attaquant distant et non-authentifié peut alors potentiellement provoquer un déni de service ou injecter du code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Exécution de code arbitraire

Criticité

Score CVSS v3 : 8.8

Existence d’un code d’exploitation

Il n’existe pas de code d'exploitation connu à ce jour.

Composants vulnérables

Les versions ThunderBird antérieures à la version 78.5.1.

CVE

CVE-2020-26970

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour ThunderBird vers la version 78.5.1 ou supérieure

Solution de contournement

Il n’existe pas de solution de contournement d'exploitation connue à ce jour.

Liens

Bulletin de sécurité Mozilla n°53