Unter bestimmten Voraussetzungen könnte es bei Überprüfungen von Signaturen durch die Krypto-Bibliothek Network Security Services (NSS) von Mozilla zu Fehlern kommen. Sind Attacken erfolgreich, könnte Schadcode auf Computer gelangen. Gegen solche Attacken abgesicherte Versionen sind verfügbar.
NSS soll für die sichere Kommunikation zwischen Client und Server sorgen. Die Programmbibliothek kommt beispielsweise im E-Mail-Client Thunderbird, LibreOffice und verschiedenen PDF-Betrachtern zum Einsatz. Einer Warnmeldung von Mozilla zufolge ist der hauseigene Webbrowser Firefox nicht von der als „kritisch“ eingestuften Sicherheitslücke (CVE-2021-43527) betroffen.
Mozilla zufolge löst die Verarbeitung von mit DER verschlüsselten DSA- oder RSA-PSS-Signaturen einen Speicherfehler (heap overflow) aus. Auch bei der Verarbeitung und Validierung von CMS, CRL, OCSP, PKCS #7, PKCS#12, S/MIME und X.509 kann es je nach Konfiguration zu Fehlern kommen.
Auf die Lücke ist Googles Vorzeige-Sicherheitsforscher Tavis Ormandy gestoßen. In einem Beitrag führt er die Problematik aus. Die Lücke hat er BigSig getauft. Ihm zufolge könnte der alleinige Empfang einer mit S/MIME signierten Mail eine Attacke einleiten.
Quelle: heise
NSS soll für die sichere Kommunikation zwischen Client und Server sorgen. Die Programmbibliothek kommt beispielsweise im E-Mail-Client Thunderbird, LibreOffice und verschiedenen PDF-Betrachtern zum Einsatz. Einer Warnmeldung von Mozilla zufolge ist der hauseigene Webbrowser Firefox nicht von der als „kritisch“ eingestuften Sicherheitslücke (CVE-2021-43527) betroffen.
Mozilla zufolge löst die Verarbeitung von mit DER verschlüsselten DSA- oder RSA-PSS-Signaturen einen Speicherfehler (heap overflow) aus. Auch bei der Verarbeitung und Validierung von CMS, CRL, OCSP, PKCS #7, PKCS#12, S/MIME und X.509 kann es je nach Konfiguration zu Fehlern kommen.
Patches verfügbar
Die Entwickler versichern, die Schwachstelle in den Versionen NSS 3.68.1 und 3.73 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein. Nun müssen alle Entwickler, die NSS einsetzen, ihre Anwendungen aktualisieren, damit Nutzer abgesicherte Versionen installieren können.Auf die Lücke ist Googles Vorzeige-Sicherheitsforscher Tavis Ormandy gestoßen. In einem Beitrag führt er die Problematik aus. Die Lücke hat er BigSig getauft. Ihm zufolge könnte der alleinige Empfang einer mit S/MIME signierten Mail eine Attacke einleiten.
Quelle: heise