NSS: Die TLS-Lücke, die nicht hätte sein dürfen

Ein Google-Forscher hat eine triviale Lücke in Mozillas TLS-Bibliothek NSS entdeckt, trotz aller Vorkehrungen des Herstellers.

Artikel veröffentlicht am ,
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke.
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke. (Bild: Pixabay)

Der bei Googles Project Zero angestellte Sicherheitsforscher Tavis Ormandy hat eine Lücke (CVE-2021-43527) in Mozillas TLS-Bibliothek NSS entdeckt, wie er in dem Blog der Initiative schreibt. Anders als sonst, habe diese aber keinen besonders großen Angriffsvektor oder sei besonders komplex. Sie sei dagegen sehr trivial - trotz der zahlreichen auch technischen Sicherheitsvorkehrungen seitens Mozilla. Mit der Version 3.73.0 von NSS wird die Lücke behoben.

Stellenmarkt
  1. CRM Application Manager (gn)
    Getriebebau NORD GmbH & Co. KG, Bargteheide bei Hamburg
  2. IT-Mitarbeiter - First Level Support (m/w/d)
    Knappschaft Kliniken Service GmbH, Bochum
Detailsuche

Konkret findet sich die Lücke in einer Union, die genutzt wird, um Signaturen zu speichern. Diese ist maximal 16 kBit groß. Ormandy fragt dazu: "Okay, aber was passiert, wenn Sie nur [...] eine Signatur erstellen, die größer ist?". Dies führt überraschenderweise zu einer Speicherlücke, denn letztlich wird die nicht vertrauenswürdige Signatur einfach in einen Buffer fester Größe kopiert und dieser läuft bei einer zu großen Signatur über.

Eigentlich sollten derartige simple Speicherfehler in solch einer sicherheitskritischen Anwendung nicht geschehen. Ormandy schreibt dazu jedoch: "Dies war kein Prozessfehler, der Anbieter hat alles richtig gemacht. Mozilla verfügt über ein ausgereiftes, erstklassiges Sicherheitsteam. Sie leisteten Pionierarbeit bei Bug Bounties, investierten in Speichersicherheit, Fuzzing und Testabdeckung."

Einfacher Fehler trotz Vorkehrungen

Weiter analysiert Ormandy, dass einige Annahmen innerhalb des Fuzzings dazu geführt haben, dass die Lücke nicht gefunden worden ist. So werden die Bestandteile von NSS nicht übergreifend getestet und es gibt eine feste Größenbeschränkung von Eingabeobjekten beim Fuzzing. Auch seien die für das Fuzzing genutzten Metriken irreführend, da der untersuchte Code zwar ausgiebig überprüft werde, aber eben von Fuzzern, die den Fehler selbst nie hätten auslösen können.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
Weitere IT-Trainings

Ormandy schreibt dazu: "Dieses Problem zeigt, dass selbst extrem gut gewartetes C/C++ fatale, triviale Fehler haben kann". Eine im Firefox und Thunderbird genutzte Bibliothek zur Validierung habe immerhin Schlimmeres verhindert. Diese wird aber nicht außerhalb von Mozilla-Projekten genutzt, in denen NSS sonst noch zum Einsatz kommt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /