Alert!

BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS

Setzen Anwendungen zur sicheren Kommunikation Mozillas Network Security Services ein, könnte eine kritische Lücke für Probleme sorgen.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 1 Min.

Unter bestimmten Voraussetzungen könnte es bei Überprüfungen von Signaturen durch die Krypto-Bibliothek Network Security Services (NSS) von Mozilla zu Fehlern kommen. Sind Attacken erfolgreich, könnte Schadcode auf Computer gelangen. Gegen solche Attacken abgesicherte Versionen sind verfügbar.

NSS soll für die sichere Kommunikation zwischen Client und Server sorgen. Die Programmbibliothek kommt beispielsweise im E-Mail-Client Thunderbird, LibreOffice und verschiedenen PDF-Betrachtern zum Einsatz. Einer Warnmeldung von Mozilla zufolge ist der hauseigene Webbrowser Firefox nicht von der als „kritisch“ eingestuften Sicherheitslücke (CVE-2021-43527) betroffen.

Mozilla zufolge löst die Verarbeitung von mit DER verschlüsselten DSA- oder RSA-PSS-Signaturen einen Speicherfehler (heap overflow) aus. Auch bei der Verarbeitung und Validierung von CMS, CRL, OCSP, PKCS #7, PKCS#12, S/MIME und X.509 kann es je nach Konfiguration zu Fehlern kommen.

Die Entwickler versichern, die Schwachstelle in den Versionen NSS 3.68.1 und 3.73 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein. Nun müssen alle Entwickler, die NSS einsetzen, ihre Anwendungen aktualisieren, damit Nutzer abgesicherte Versionen installieren können.

Auf die Lücke ist Googles Vorzeige-Sicherheitsforscher Tavis Ormandy gestoßen. In einem Beitrag führt er die Problematik aus. Die Lücke hat er BigSig getauft. Ihm zufolge könnte der alleinige Empfang einer mit S/MIME signierten Mail eine Attacke einleiten.

(des)