NSS: Die TLS-Lücke, die nicht hätte sein dürfen

Ein Google-Forscher hat eine triviale Lücke in Mozillas TLS-Bibliothek NSS entdeckt, trotz aller Vorkehrungen des Herstellers.

Artikel veröffentlicht am ,
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke.
Die TLS-Bibliothek NSS hatte eine sehr triviale Lücke. (Bild: Pixabay)

Der bei Googles Project Zero angestellte Sicherheitsforscher Tavis Ormandy hat eine Lücke (CVE-2021-43527) in Mozillas TLS-Bibliothek NSS entdeckt, wie er in dem Blog der Initiative schreibt. Anders als sonst, habe diese aber keinen besonders großen Angriffsvektor oder sei besonders komplex. Sie sei dagegen sehr trivial - trotz der zahlreichen auch technischen Sicherheitsvorkehrungen seitens Mozilla. Mit der Version 3.73.0 von NSS wird die Lücke behoben.

Stellenmarkt
  1. Inhouse SAP FI/CO-Berater (m/w/d)
    THOMAS SABO GmbH & Co. KG, Lauf an der Pegnitz
  2. SIEM/SOC Consultant (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr, Duisburg, Düsseldorf, Dortmund
Detailsuche

Konkret findet sich die Lücke in einer Union, die genutzt wird, um Signaturen zu speichern. Diese ist maximal 16 kBit groß. Ormandy fragt dazu: "Okay, aber was passiert, wenn Sie nur [...] eine Signatur erstellen, die größer ist?". Dies führt überraschenderweise zu einer Speicherlücke, denn letztlich wird die nicht vertrauenswürdige Signatur einfach in einen Buffer fester Größe kopiert und dieser läuft bei einer zu großen Signatur über.

Eigentlich sollten derartige simple Speicherfehler in solch einer sicherheitskritischen Anwendung nicht geschehen. Ormandy schreibt dazu jedoch: "Dies war kein Prozessfehler, der Anbieter hat alles richtig gemacht. Mozilla verfügt über ein ausgereiftes, erstklassiges Sicherheitsteam. Sie leisteten Pionierarbeit bei Bug Bounties, investierten in Speichersicherheit, Fuzzing und Testabdeckung."

Einfacher Fehler trotz Vorkehrungen

Weiter analysiert Ormandy, dass einige Annahmen innerhalb des Fuzzings dazu geführt haben, dass die Lücke nicht gefunden worden ist. So werden die Bestandteile von NSS nicht übergreifend getestet und es gibt eine feste Größenbeschränkung von Eingabeobjekten beim Fuzzing. Auch seien die für das Fuzzing genutzten Metriken irreführend, da der untersuchte Code zwar ausgiebig überprüft werde, aber eben von Fuzzern, die den Fehler selbst nie hätten auslösen können.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    15.–17. März 2022, Virtuell
Weitere IT-Trainings

Ormandy schreibt dazu: "Dieses Problem zeigt, dass selbst extrem gut gewartetes C/C++ fatale, triviale Fehler haben kann". Eine im Firefox und Thunderbird genutzte Bibliothek zur Validierung habe immerhin Schlimmeres verhindert. Diese wird aber nicht außerhalb von Mozilla-Projekten genutzt, in denen NSS sonst noch zum Einsatz kommt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Energiespeicher
Große Druckluftspeicher locken Investorengelder an

Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
Von Frank Wunderlich-Pfeiffer

Energiespeicher: Große Druckluftspeicher locken Investorengelder an
Artikel
  1. Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
    Corona-Warn-App
    Jede geteilte Warnung kostete 100 Euro

    Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

  2. Star Trek: Neuigkeiten zu Discovery, Picard und weiteren Serien
    Star Trek
    Neuigkeiten zu Discovery, Picard und weiteren Serien

    Die zweite Hälfte von Star Trek: Discovery kommt ab Februar auf Pluto TV. Außerdem gibt es Termine für weitere Star-Trek-Serien.

  3. Aircall: Die Telekom bietet VoIP-Business-Telefonie in der Cloud
    Aircall
    Die Telekom bietet VoIP-Business-Telefonie in der Cloud

    Die Deutsche Telekom macht Sipgate Konkurrenz und hostet in ihrer Cloud Software von ihrem Partner Aircall.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Samsung 16GB DDR5-4800 199€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /