Mardi dernier Secunia révélait la découverte d'une faille « extremely critical » sous Firefox dans sa version Linux. Jeudi on a pu apprendre que le cousin du navigateur, Thunderbird, est lui aussi touché par la même faille, encore uniquement dans sa version Linux.

La société danoise de sécurité a donc encore considéré que cette faille était également extrêmement critique. Pour rappel, le trou de sécurité concerne la manière dont le logiciel traite les URL qui pourraient comporter certaines lignes de commandes à exécuter sous Linux. Si ces commandes sont contenues dans l'URL, le navigateur les exécute automatiquement, ce qui est très dangereux selon Secunia.

La version 1.0.7 a corrigé ce trou de sécurité ainsi que d'autres, mais pour Thunderbird, la vulnérabilité est toujours présente, aucune nouvelle version n'étant venue corriger le problème. Par exemple, si l'utilisateur clique un lien direct « mailto: » à partir de son navigateur et que Thunderbird s'ouvre par défaut, alors toutes les commandes Linux dissimulées dans le lien s'exécutent.

Selon Mozilla et BugZilla, le bug a été rapporté et devrait être corrigé d'ici peu. Mais pour l'instant, la recommandation de Secunia est simple : ne pas utiliser Thunderbird comme logiciel par défaut. Vous êtes prévenus.