Kritischer Fehler in Mozillas NSS-Kryptobibliothek betrifft unter Umständen mehrere andere Software

Mozilla hat Fixes eingeführt, um eine kritische Sicherheitslücke in seiner plattformübergreifenden kryptografischen Bibliothek Network Security Services (NSS) zu beheben, die potenziell von einem Gegner ausgenutzt werden könnte, um eine anfällige Software zum Kollaps zu einbringen und sogar beliebigen Geheimzeichen auszuführen.

Dieser Fehler, jener qua CVE-2021-43527 verfolgt wird, betrifft NSS-Versionen vor 3.73 oder 3.68.1 ESR und betrifft eine Heap-Overflow-Schwachstelle im Rahmen jener Kontrolle digitaler Signaturen wie DSA- und RSA-PSS-Algorithmen, die im DER-Binärformat codiert sind. Die Meldung des Problems wird Tavis Ormandy von Google Project Zero zugeschrieben, jener es mit dem Codenamen “BigSig” bezeichnete.

“NSS-Versionen (Network Security Services) vor 3.73 oder 3.68.1 ESR sind beim Umgang mit DER-codierten DSA- oder RSA-PSS-Signaturen wehklagend zu Händen verschmelzen Heap-Überlauf”, sagte Mozilla in einem am Mittwoch veröffentlichten Advisory. “Anwendungen, die NSS zum Umgang mit in CMS, Sulfur/MIME, PKCS #7 oder PKCS #12 codierten Signaturen verwenden, sind wahrscheinlich betroffen.”

NSS ist eine Sammlung kryptografischer Open-Source-Computerbibliotheken, die die plattformübergreifende Schöpfung von Client-Server-Anwendungen zuteilen, mit Unterstützung zu Händen SSL v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, Sulfur/ MIME-, X.509 v3-Zertifikate und andere Sicherheitsstandards.

Dieser Softwarefehler, die Folge fehlender Bounds Checks, die die Version von willkürlichem, von Angreifern kontrolliertem Geheimzeichen zuteilen könnten, soll schon im Monat der Sommersonnenwende 2012 ausnutzbar gewesen sein. “, sagte Ormandy in einer technischen Darstellung.

Während dasjenige BigSig-Not den Firefox-Webbrowser von Mozilla selbst nicht betrifft, gelten E-Mail-Nachricht-Clients, Portable Document Format-Viewer und andere Anwendungen, die aufwärts NSS zur Signaturprüfung angewiesen sind, wie Red Hat, Thunderbird, LibreOffice, Evolution und Evince, qua wehklagend .

“Dies ist ein schwerwiegender Fehler im Rahmen jener Speicherbeschädigung in NSS, so gut wie jede Verwendung von NSS ist betroffen”, Ormandy getwittert. “Wenn Sie ein Provider sind, jener NSS in Ihren Produkten vertreibt, zu tun sein Sie den Patch sehr wahrscheinlich updaten oder zurückportieren.”