mercredi 23 avril 2008

Vulnérabilité Thunderbird

noscript logoOn a beaucoup parlé la semaine dernière de la vulnérabilité du moteur JavaScript ayant conduit la Fondation Mozilla à publier la mise à jour 2.0.0.14 pour Firefox [fr]. Il ne faudrait pas oublier pour autant que, comme le mentionne d'ailleurs le MFSA 2008-20 [en], Thunderbird (le courrielleur) et SeaMonkey (la suite internet de Mozilla) utilisant le même moteur que Firefox, ces 2 logiciels sont également affectés par cette vulnérabilité dans leur version actuelle (Thunderbird 2.0.0.12 et SeaMonkey 1.1.9).


En attendant les versions de mise à jour Thunderbird 2.0.0.14 et SeaMonkey 1.1.10 qui devraient être publiées dans les prochains jours, il est conseillé de désactiver temporairement le JavaScript dans ces 2 logiciels, en allant dans : Outils => Options => Avancé => Général => Editeur de configuration, puis rechercher et mettre l'expression "javascript.enabled" à "false" ce qui bloquera complètement ce langage. Si besoin, l''extension NoScript, qui permet de gérer plus souplement et au coup par coup l'usage du JavaScript, peut également être installée.

Dans un contexte où Internet et sécurité deviennent de plus en plus difficiles à concilier, utiliser Thunderbird 2 [fr] comme logiciel de messagerie est une bonne démarche. Mais sans pour autant oublier de rester vigilant, notamment vis à vis de ce type de vulnérabilité ponctuelle.

03/05/2008 - Mise à jour Thunderbird : ça y est, Mozilla vient de publier la version 2.0.0.14 de Thunderbird, corrigeant 2 failles dont celle relative à Javascript. Cette mise à jour vous sera proposée automatiquement, ou peut être appelée via le menu "Aide" => "Rechercher des mises à jour" de Thunderbird.


Aucun commentaire: