Un problème de sécurité affecte les versions suivantes de Ubuntu :

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Ubuntu 8.04 LTS :
thunderbird 2.0.0.22+build1+nobinonly-0ubuntu0.8.04.1
Ubuntu 8.10 :
thunderbird 2.0.0.22+build1+nobinonly-0ubuntu0.8.10.1
Ubuntu 9.04 :
thunderbird 2.0.0.22+build1+nobinonly-0ubuntu0.9.04.1

Après une mise à niveau standard du système vous devrez redémarrer Thunderbird pour apporter les modifications nécessaires.

Détails :

Plusieurs failles ont été découvertes dans le moteur JavaScript de Thunderbird. Si un utilisateur avait JavaScript activé et était amené à visualiser du contenu Web malveillant, un attaquant distant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1303, CVE-2009-1305, CVE-2009-1392, CVE-2009-1833, CVE-2009-1838)

Plusieurs failles ont été découvertes dans la façon dont Thunderbird traitait les URI malformées. Si un utilisateur était amené à visiter un site Web malveillant et avait JavaScript et les extensions activés, un attaquant distant pourrait exécuter du code JavaScript arbitraire ou dérober des données privées. (CVE-2009-1306, CVE-2009-1307, CVE-2009-1309)

Cefn Hoile a découvert que Thunderbird ne protégeait pas correctement contre les feuilles de style tierce intégrées. Si JavaScript était activé, un attaquant pourrait exploiter ceci pour faire des attaques par injection de script en utilisant les liaisons XBL. (CVE-2009-1308)

Shuo Chen, Ziqing Mao, Yi-Min Wang et Ming Zhang ont découvert que Thunderbird ne gérait pas correctement les réponses d’erreur lors de la connexion à un serveur mandataire. Si un utilisateur avait JavaScript activé alors qu’il utilise Thunderbird pour visiter des sites Web et qu’un attaquant distant soit à même de faire un attaque de l’homme du milieu, cette faille pourrait être exploitée pour visualiser des informations sensibles. (CVE-2009-1836)

Il a été découvert que Thunderbird pourrait être utilisé pour exécuter des scripts avec des privilèges élevés. Si un utilisateur avait JavaScript activé en ayant certaines extensions, autres que celles par défaut, installées et était amené à visiter un site Web malveillant, un attaquant pourrait forcer un objet chrome privilégié, tel que la barre latérale du navigateur, à exécuter du code arbitraire via des interactions avec le site Web contrôlé par l’attaquant. (CVE-2009-1841)

Origine : USN-782-1: Thunderbird vulnerabilities (http://www.ubuntu.com/usn/usn-782-1)