Hardware & Software Alert!: BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS

Unter bestimmten Voraussetzungen könnte es bei Überprüfungen von Signaturen durch die Krypto-Bibliothek Network Security Services (NSS) von Mozilla zu Fehlern kommen. Sind Attacken erfolgreich, könnte Schadcode auf Computer gelangen. Gegen solche Attacken abgesicherte Versionen sind verfügbar.

NSS soll für die sichere Kommunikation zwischen Client und Server sorgen. Die Programmbibliothek kommt beispielsweise im E-Mail-Client Thunderbird, LibreOffice und verschiedenen PDF-Betrachtern zum Einsatz. ist der hauseigene Webbrowser Firefox nicht von der als „kritisch“ eingestuften Sicherheitslücke (CVE-2021-43527) betroffen.
Mozilla zufolge löst die Verarbeitung von mit DER verschlüsselten DSA- oder RSA-PSS-Signaturen einen Speicherfehler (heap overflow) aus. Auch bei der Verarbeitung und Validierung von CMS, CRL, OCSP, PKCS #7, PKCS#12, S/MIME und X.509 kann es je nach Konfiguration zu Fehlern kommen.

Patches verfügbar​

Die Entwickler versichern, die Schwachstelle in den Versionen NSS 3.68.1 und 3.73 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein. Nun müssen alle Entwickler, die NSS einsetzen, ihre Anwendungen aktualisieren, damit Nutzer abgesicherte Versionen installieren können.

Auf die Lücke ist Googles Vorzeige-Sicherheitsforscher Tavis Ormandy gestoßen. s. Die Lücke hat er BigSig getauft. Ihm zufolge könnte der alleinige Empfang einer mit S/MIME signierten Mail eine Attacke einleiten.
Quelle: heise