Mozilla vient de lancer le 25 mars 2008 un patch pour 10 failles sur son navigateur Firefox avec la mise à jour vers la version 2.0.0.13. Cinq d'entre ces vulnérabilités sont aussi présentes sur Thunderbird, mais aucune mise à jour n'est encore présente pour ce dernier.

Cinq de ces failles sont considérées critiques, trois à risque élevé, une à risque moyen et une à risque faible. Parmi les failles critiques existent deux qui peuvent causer un crash du navigateur ou de son moteur JavaScript. Des crashs ont manifesté la possibilité de corruption de mémoire dans certaines circonstances, pouvant mener à des exploitations pour exécution de code arbitraire.

Mozilla a aussi patché de possibles fuites d'identité, repoussant des bugs et des vulnérabilités sur des scripts inter-sites dans la version 2.0.0.13. Une caractéristique LiveConnect autorise des applets Java à faire appel à un Javascript intégré dans une page Web.

Toutes les 10 vulnérabilités ont été fixées sur le projet Seamonkey, une initiative open-source qui développe une suite de navigateurs multifonction. Thunderbird, touché par cinq de ces failles critiques, reste encore sans mise à jour. Il peut lui aussi être vulnérable aux Javascripts puisqu'il utilise le même moteur de navigation que Firefox. Le Javascript est désactivé par défaut sur les emails, et il est sérieusement déconseillé de l'activer. Une mise à jour est prévue pour Thunderbird dans les semaines qui viennent.