BigSig-Lücke in Mozilla NSS (betrifft potentiell Thunderbird, LibreOffice, Evolution, Evince und weitere Anwendungen)

Kurzer Hinweis, da ich weiß, dass hier welche Thunderbird, LibreOffice oder auch andere Anwendungen nutzen, welche die NSS-Bibliothek von Mozilla nutzen: Google hat eine schwerwiegende Sicherheitslücke in NSS entdeckt, die bereits seit dem Jahr 2012 existiert. Firefox nutzt zwar auch NSS, ist von der Sicherheitslücke aber nicht betroffen.

Mozilla hat die Sicherheitslücke heute behoben und ein Update für NSS veröffentlicht, aber die Anwendungen, die NSS nutzen, müssen die neue NSS-Version natürlich erst implementieren und ihrerseits ein Update veröffentlichen. Wer eine betroffene Anwendung nutzt, sollte also die Augen nach Updates offen halten. Mozilla geht mindestens von den im Betreff genannten Anwendungen aus, aber NSS wird natürlich nicht nur von denen genutzt.

Ach, und für die Fraktion "Ich passe auf, worauf ich klicke": Bereits der Empfang einer S/MIME signierten E-Mail kann eine Attacke einleiten.

Memory corruption in NSS via DER-encoded DSA and RSA-PSS signatures

www.mozilla.org

Mit solchen Kommentaren kann man das Gefahrenpotential natürlich schön verharmlosen. Ja, Windows hat deutlich mehr Marktanteil als Linux oder macOS und damit ist die Wahrscheinlichkeit für Angriffe höher. Aber von der Sicherheitslücke ist jede Plattform betroffen und es gibt absolut keinen Grund, als Linux- oder macOS-Nutzer weniger besorgt zu sein. Im Gegenteil ist diese Haltung gerade in der "Linux-Welt" eh schon viel zu verbreitet und sollte nicht durch solche Bemerkungen noch weiter bestärkt werden. Bei macOS sprechen wir übrigens mittlerweile von ca. zehn Prozent Marktanteil, was die obige Rechung erstens falsch macht und zweitens in absoluten Zahlen ausgedrückt alles andere als wenig ist. Das ist längst keine unattraktive Nische mehr. Im Übrigen wird NSS nicht nur in Desktop-Anwendungen genutzt. Betrachtet man den kompletten Markt, macht Windows plötzlich nur noch ein Drittel und nicht 97 Prozent (was nicht einmal für den Desktop-Markt stimmt) aus.

Eigenartig und besorgniserregend finde ich auch den letzten Satz. Zum einen ist eine Firewall keine Kompensation für eine Sicherheitslücke (hier habe ich mich verlesen) zum anderen ist ein Backup zwar schön, um ein kompromittiertes System ohne Datenverlust zurücksetzen zu können, aber der Schaden, den eine solche Sicherheitslücke anrichten kann, ist ja nun nicht zwingend nur ein Schaden an Dateien, die man einfach zurücksetzen kann. Wenn durch die Lücke sensible Daten abgegriffen werden, hilft einem die Tatsache, dass man ein Backup hat, gar nichts.

Stimmt, da habe ich mich verlesen. Die restlichen Aussagen bleiben aus den genannten Gründen trotzdem fragwürdig.

LibreOffice 7.1.8 und 7.2.4 beheben die Schwachstelle. Auch in Thunderbird 91.4 ist die Schwachstelle behoben. Da ich die Thunderbird-Artikel nicht hier her übertragen lasse, verlinke ich an dieser Stelle auf meinen Artikel:

Thunderbird 91.4 behebt BigSig-Sicherheitslücke

Nachdem Unklarheit herrschte, ob Thunderbird 91.4 die

www.soeren-hentzschel.at

Ich möchte das insbesondere deswegen hervorheben, weil es doch einige Verwirrung darüber gab, ob Thunderbird 91.4 die Sicherheitslücke behoben hat oder nicht. Manche Website schreibt, es wäre nicht in Thunderbird 91.4 behoben worden. Selbst im Thunderbird-Forum wurde geschrieben, dass es nicht behoben wurde. Aber die Build-Konfiguration, die man innerhalb von Thunderbird 91.4 öffnen kann, zeigt, dass der Fix drin ist, da kann ich also meine Hand für ins Feuer legen.

Zu anderen Anwendungen, die NSS nutzen, kann ich nichts sagen.