NSS: Die TLS-Lücke, die nicht hätte sein dürfen

Ein Google-Forscher hat eine triviale Lücke in Mozillas TLS-Bibliothek NSS entdeckt, trotz aller Vorkehrungen des Herstellers.

Artikel veröffentlicht am ,
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke.
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke. (Bild: Pixabay)

Der bei Googles Project Zero angestellte Sicherheitsforscher Tavis Ormandy hat eine Lücke (CVE-2021-43527) in Mozillas TLS-Bibliothek NSS entdeckt, wie er in dem Blog der Initiative schreibt. Anders als sonst, habe diese aber keinen besonders großen Angriffsvektor oder sei besonders komplex. Sie sei dagegen sehr trivial - trotz der zahlreichen auch technischen Sicherheitsvorkehrungen seitens Mozilla. Mit der Version 3.73.0 von NSS wird die Lücke behoben.

Stellenmarkt
  1. Data and Process Lead (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. Senior Consultant Data & Analytics Governance (m/w/d)
    Schaeffler AG, Nürnberg
Detailsuche

Konkret findet sich die Lücke in einer Union, die genutzt wird, um Signaturen zu speichern. Diese ist maximal 16 kBit groß. Ormandy fragt dazu: "Okay, aber was passiert, wenn Sie nur [...] eine Signatur erstellen, die größer ist?". Dies führt überraschenderweise zu einer Speicherlücke, denn letztlich wird die nicht vertrauenswürdige Signatur einfach in einen Buffer fester Größe kopiert und dieser läuft bei einer zu großen Signatur über.

Eigentlich sollten derartige simple Speicherfehler in solch einer sicherheitskritischen Anwendung nicht geschehen. Ormandy schreibt dazu jedoch: "Dies war kein Prozessfehler, der Anbieter hat alles richtig gemacht. Mozilla verfügt über ein ausgereiftes, erstklassiges Sicherheitsteam. Sie leisteten Pionierarbeit bei Bug Bounties, investierten in Speichersicherheit, Fuzzing und Testabdeckung."

Einfacher Fehler trotz Vorkehrungen

Weiter analysiert Ormandy, dass einige Annahmen innerhalb des Fuzzings dazu geführt haben, dass die Lücke nicht gefunden worden ist. So werden die Bestandteile von NSS nicht übergreifend getestet und es gibt eine feste Größenbeschränkung von Eingabeobjekten beim Fuzzing. Auch seien die für das Fuzzing genutzten Metriken irreführend, da der untersuchte Code zwar ausgiebig überprüft werde, aber eben von Fuzzern, die den Fehler selbst nie hätten auslösen können.

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Ormandy schreibt dazu: "Dieses Problem zeigt, dass selbst extrem gut gewartetes C/C++ fatale, triviale Fehler haben kann". Eine im Firefox und Thunderbird genutzte Bibliothek zur Validierung habe immerhin Schlimmeres verhindert. Diese wird aber nicht außerhalb von Mozilla-Projekten genutzt, in denen NSS sonst noch zum Einsatz kommt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Giga Factory Berlin: Tesla kauft Bahngleis in Brandenburg
    Giga Factory Berlin
    Tesla kauft Bahngleis in Brandenburg

    Tesla will sein neues Werk in Grünheide besser an den öffentlichen Nahverkehr anbinden und kauft ein Schienenstück für einen eigenen Zug.

  2. Aus dem Verlag: Golem-PC mit Geforce RTX 3050 und 6C-Ryzen
    Aus dem Verlag
    Golem-PC mit Geforce RTX 3050 und 6C-Ryzen

    Sechs CPU-Kerne dank AMDs Ryzen und eine Raytracing-Grafikkarte für 1080p-Gaming: Der Golem Basic Plus ist dafür gerüstet.

  3. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar - trotz Chipkrise und weiteren Lieferengpässen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /