BigSig-Lücke in Mozilla NSS (betrifft potentiell Thunderbird, LibreOffice, Evolution, Evince und weitere Anwendungen)

  • Kurzer Hinweis, da ich weiß, dass hier welche Thunderbird, LibreOffice oder auch andere Anwendungen nutzen, welche die NSS-Bibliothek von Mozilla nutzen: Google hat eine schwerwiegende Sicherheitslücke in NSS entdeckt, die bereits seit dem Jahr 2012 existiert. Firefox nutzt zwar auch NSS, ist von der Sicherheitslücke aber nicht betroffen.

    Mozilla hat die Sicherheitslücke heute behoben und ein Update für NSS veröffentlicht, aber die Anwendungen, die NSS nutzen, müssen die neue NSS-Version natürlich erst implementieren und ihrerseits ein Update veröffentlichen. Wer eine betroffene Anwendung nutzt, sollte also die Augen nach Updates offen halten. Mozilla geht mindestens von den im Betreff genannten Anwendungen aus, aber NSS wird natürlich nicht nur von denen genutzt.

    Ach, und für die Fraktion "Ich passe auf, worauf ich klicke": Bereits der Empfang einer S/MIME signierten E-Mail kann eine Attacke einleiten.

  • Na toll, ich nutze Evolution.

    Wenn jemand BigSig ausnutzt und präparierte Mails verteilt, wird die Payload für Windows sein. Eher nicht für Linux oder Mac. Linux am Desktop macht 2-3%. Das ist natürlich keine Garantie. Doch es ändert die Anzahl der Patronen im Revolver dramatisch. Platt vereinfacht: Beim Windows Nutzer stecken 97 drin, bei dir drei. Machst du dir trotzdem Sorgen? Backup und Firejail können beruhigen.

  • Mit solchen Kommentaren kann man das Gefahrenpotential natürlich schön verharmlosen. :/ Ja, Windows hat deutlich mehr Marktanteil als Linux oder macOS und damit ist die Wahrscheinlichkeit für Angriffe höher. Aber von der Sicherheitslücke ist jede Plattform betroffen und es gibt absolut keinen Grund, als Linux- oder macOS-Nutzer weniger besorgt zu sein. Im Gegenteil ist diese Haltung gerade in der "Linux-Welt" eh schon viel zu verbreitet und sollte nicht durch solche Bemerkungen noch weiter bestärkt werden. Bei macOS sprechen wir übrigens mittlerweile von ca. zehn Prozent Marktanteil, was die obige Rechung erstens falsch macht und zweitens in absoluten Zahlen ausgedrückt alles andere als wenig ist. Das ist längst keine unattraktive Nische mehr. Im Übrigen wird NSS nicht nur in Desktop-Anwendungen genutzt. Betrachtet man den kompletten Markt, macht Windows plötzlich nur noch ein Drittel und nicht 97 Prozent (was nicht einmal für den Desktop-Markt stimmt) aus.

    Eigenartig und besorgniserregend finde ich auch den letzten Satz. Zum einen ist eine Firewall keine Kompensation für eine Sicherheitslücke (hier habe ich mich verlesen) zum anderen ist ein Backup zwar schön, um ein kompromittiertes System ohne Datenverlust zurücksetzen zu können, aber der Schaden, den eine solche Sicherheitslücke anrichten kann, ist ja nun nicht zwingend nur ein Schaden an Dateien, die man einfach zurücksetzen kann. Wenn durch die Lücke sensible Daten abgegriffen werden, hilft einem die Tatsache, dass man ein Backup hat, gar nichts. :/

  • Machst du dir trotzdem Sorgen?

    Naja, es hinterlässt ein ungutes Gefühl, wenn man liest, dass es diese Lücke bereits seit 2012 gibt. Wenn es dann noch um persönliche Daten geht, finde ich das gar nicht mehr lustig.

    Gruß
    dbpdw

    Ubuntu 21.10Fx snap 99.0.1

  • Mit solchen Kommentaren kann man das Gefahrenpotential natürlich schön verharmlosen.

    Ich habe ausdrücklich geschrieben, auch Linux und Mac bieten keine Garantie. Ich habe es lediglich in Relation gesetzt. Das ist auch gerechtfertig.

    und es gibt absolut keinen Grund, als Linux- oder macOS-Nutzer weniger besorgt zu sein.

    Der Schadcode muss für die jeweilige Plattform geschrieben sein. Da ist Linux auf dem Desktop ein weniger lohnendes Ziel als Windows. Linuxer dürfen deshalb nicht frei von Sorge sein. Windowsnutzer sind trotzdem einem höheren Risiko ausgesetzt.

    Bei macOS sprechen wir übrigens mittlerweile von ca. zehn Prozent Marktanteil,

    Punkt für dich. Die 10% habe ich bei den Patronen unterschlagen. Nehmen wir noch weitere 5% für Exoten dazu. Dann kommt Windows auf 82%, nur PCs betrachtet. Also 82 zu 3 Patronen. Da weiß ich immer noch, welchen der beiden Revolver ich wähle.

    Natürlich, die Rechnung sieht anders aus, wenn man auch Smartphones und die Server berücksichtigt. Welche Apps auch NSS benutzen, dazu habe ich noch nichts gelesen. Deshalb die beschränke ich mich auf PCs.

    zum anderen ist ein Backup zwar schön, um ein kompromittiertes System ohne Datenverlust zurücksetzen zu können, aber der Schaden, den eine solche Sicherheitslücke anrichten kann, ist ja nun nicht zwingend nur ein Schaden an Dateien, die man einfach zurücksetzen kann

    Genau deshalb habe ich Backup und Firejail angeführt. Bleibt sonst nur noch, die betroffenen Produkte bis zum Fix komplett zu meiden. Dazu müsste man sie erstmal alle kennen.

    Wenn es dann noch um persönliche Daten geht, finde ich das gar nicht mehr lustig.

    Ist es ist auch nicht. Das ist alles andere als lustig.

  • LibreOffice 7.1.8 und 7.2.4 beheben die Schwachstelle. Auch in Thunderbird 91.4 ist die Schwachstelle behoben. Da ich die Thunderbird-Artikel nicht hier her übertragen lasse, verlinke ich an dieser Stelle auf meinen Artikel:

    Thunderbird 91.4 behebt BigSig-Sicherheitslücke
    Nachdem Unklarheit herrschte, ob Thunderbird 91.4 die
    www.soeren-hentzschel.at

    Ich möchte das insbesondere deswegen hervorheben, weil es doch einige Verwirrung darüber gab, ob Thunderbird 91.4 die Sicherheitslücke behoben hat oder nicht. Manche Website schreibt, es wäre nicht in Thunderbird 91.4 behoben worden. Selbst im Thunderbird-Forum wurde geschrieben, dass es nicht behoben wurde. Aber die Build-Konfiguration, die man innerhalb von Thunderbird 91.4 öffnen kann, zeigt, dass der Fix drin ist, da kann ich also meine Hand für ins Feuer legen. ;)

    Zu anderen Anwendungen, die NSS nutzen, kann ich nichts sagen.

  • Mittlerweile gibt es diesen Artikel drüben zum Thema

    BigSig Sicherheitslücke in Thunderbird 91.4.0 behoben

    Die Reihe TB 78* wird hingegen diesen Fix nicht mehr erhalten. Man sollte nun also schleunigst auf Version TB 91.* wechseln