Anfang Dezember hat Mozilla eine Sicherheitsmeldung veröffentlicht, um die als kritisch eingestufte Schwachstelle CVE-2021-43527 („BigSig“) in seiner Krypto-Bibliothek NSS (Network Security Services) zu dokumentieren. Die Document Foundation hat recht schnell reagiert und außer der Reihe Sicherheits-Updates für LibreOffice bereitgestellt, das bis dahin eine anfällige NSS-Version enthielt. Mozillas Mail-Programm Thunderbird nutzt NSS ebenfalls. Doch beim Update auf Thunderbird 91.4.0 in der letzten Woche hat Mozilla nicht darauf hingewiesen, dass es darin auch die BigSig-Lücke geschlossen hat. Wie der Salzburger Mozilla-Kenner Sören Hentzschel in seinem Blog berichtet, hat Mozilla jedoch durchaus die anfällige NSS-Version in Thunderbird 91.4.0 durch die abgesicherte Version NSS 3.68.1 ersetzt. Die fehlenden Hinweise auf diese Fehlerbeseitigung erklärt Hentzschel damit, dass es sich bei „BigSig“ nicht um eine Thunderbird-spezifische Lücke handele. Mozilla habe für die NSS-Schwachstelle bereits eine separate Sicherheitsmeldung veröffentlicht. ▶Die neuesten Sicherheits-Updates Im frisch veröffentlichten Seamonkey 2.53.10.1 ist die NSS-Lücke ebenfalls beseitigt. Die Websuite basiert auf Firefox ESR und Thunderbird. Auch wenn Seamonkey noch eine recht betagte Code-Basis dieser Programme nutzt (Firefox ESR 60.8, Thunderbird 60), bemüht sich das kleine Entwicklerteam mit jeder neuen Seamonkey-Version zumindest alle aktuellen Sicherheits-Updates für Firefox und Thunderbird auszuliefern. So sind in Seamonkey 2.53.10.1 die Lücken gestopft, die Mozilla in Firefox ESR 91.4.0 und Thunderbird 91.4.0 geschlossen hat. Dazu gehört auch die NSS-Lücke BigSig. Firefox ist laut Mozilla nicht von der NSS-Schwachstelle betroffen. Somit gilt das auch für den inzwischen auf Version 11.0.2 aktualisierten Tor Browser , der auf Firefox ESR 91.4.0 basiert. Die NSS-Schwachstelle CVE-2021-43527 wurde durch Tavis Ormandy (Google Project Zero) entdeckt und „BigSig“ getauft. Beim Überprüfen bestimmter digitaler Signaturen mit verwundbaren NSS-Versionen können Speicherfehler (Heap Overflow) auftreten, die zum Programmabsturz führen. Der Grund: Eine Signatur prinzipiell nicht begrenzter Länge wird in einen Puffer fester Länge eingelesen – ein klassischer Programmierfehler. Angreifer könnten das ausnutzen, um mittels sehr langer, entsprechend präparierter Signaturen Code einzuschleusen, der beim provozierten Programmabsturz ausgeführt würde. Mozilla hat die abgesicherten Versionen NSS 3.68.1 und 3.73 bereitgestellt.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.