NSS: Die TLS-Lücke, die nicht hätte sein dürfen

Ein Google-Forscher hat eine triviale Lücke in Mozillas TLS-Bibliothek NSS entdeckt, trotz aller Vorkehrungen des Herstellers.

Artikel veröffentlicht am ,
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke.
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke. (Bild: Pixabay)

Der bei Googles Project Zero angestellte Sicherheitsforscher Tavis Ormandy hat eine Lücke (CVE-2021-43527) in Mozillas TLS-Bibliothek NSS entdeckt, wie er in dem Blog der Initiative schreibt. Anders als sonst, habe diese aber keinen besonders großen Angriffsvektor oder sei besonders komplex. Sie sei dagegen sehr trivial - trotz der zahlreichen auch technischen Sicherheitsvorkehrungen seitens Mozilla. Mit der Version 3.73.0 von NSS wird die Lücke behoben.

Konkret findet sich die Lücke in einer Union, die genutzt wird, um Signaturen zu speichern. Diese ist maximal 16 kBit groß. Ormandy fragt dazu: "Okay, aber was passiert, wenn Sie nur [...] eine Signatur erstellen, die größer ist?". Dies führt überraschenderweise zu einer Speicherlücke, denn letztlich wird die nicht vertrauenswürdige Signatur einfach in einen Buffer fester Größe kopiert und dieser läuft bei einer zu großen Signatur über.

Eigentlich sollten derartige simple Speicherfehler in solch einer sicherheitskritischen Anwendung nicht geschehen. Ormandy schreibt dazu jedoch: "Dies war kein Prozessfehler, der Anbieter hat alles richtig gemacht. Mozilla verfügt über ein ausgereiftes, erstklassiges Sicherheitsteam. Sie leisteten Pionierarbeit bei Bug Bounties, investierten in Speichersicherheit, Fuzzing und Testabdeckung."

Einfacher Fehler trotz Vorkehrungen

Weiter analysiert Ormandy, dass einige Annahmen innerhalb des Fuzzings dazu geführt haben, dass die Lücke nicht gefunden worden ist. So werden die Bestandteile von NSS nicht übergreifend getestet und es gibt eine feste Größenbeschränkung von Eingabeobjekten beim Fuzzing. Auch seien die für das Fuzzing genutzten Metriken irreführend, da der untersuchte Code zwar ausgiebig überprüft werde, aber eben von Fuzzern, die den Fehler selbst nie hätten auslösen können.

Ormandy schreibt dazu: "Dieses Problem zeigt, dass selbst extrem gut gewartetes C/C++ fatale, triviale Fehler haben kann". Eine im Firefox und Thunderbird genutzte Bibliothek zur Validierung habe immerhin Schlimmeres verhindert. Diese wird aber nicht außerhalb von Mozilla-Projekten genutzt, in denen NSS sonst noch zum Einsatz kommt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /