Thunderbird 91.4 behebt BigSig-Sicherheitslücke
Vor einigen Tagen machte eine Meldung die Runde, dass Anwendungen, welche Mozillas NSS-Bibliothek nutzen, von einer „BigSig“ getauften Sicherheitslücke betroffen waren. Nachdem Unklarheit herrschte, ob Thunderbird 91.4 die Sicherheitslücke geschlossen hat, soll dieser Artikel für Aufklärung sorgen.
Was ist „BigSig“?
BigSig ist der inoffizielle Name einer bereits seit Jahren existierenden, aber jetzt erst bekannt gewordenen Sicherheitslücke in den Network Security Services, kurz: NSS. Dabei handelt es sich um eine von Mozilla entwickelte Bibliothek, welche nicht nur in Firefox, sondern auch in anderen Anwendungen wie Thunderbird, LibreOffice, Evolution und Evince verwendet wird – und noch weiteren hier nicht genannten Anwendungen. Firefox selbst war von der Sicherheitslücke nicht betroffen.
An dieser Stelle möchte ich gar nicht auf die technischen Details von „BigSig“ eingehen. An dieser Stelle nur so viel: Bereits der Empfang einer S/MIME signierten E-Mail hätte eine Attacke einleiten können.
Mozilla behebt „BigSig“-Sicherheitslücke
Mozilla hat die Sicherheitslücke in NSS 3.68.1 respektive NSS 3.73 behoben. Anwendungen, welche NSS verwenden, müssen ihrerseits ein Update mit der aktualisierten NSS-Bibliothek ausliefern.
Thunderbird 91.4 liefert Sicherheits-Fix für „BigSig“ aus
Verwirrung herrschte nun teilweise darüber, ob das neuste Thunderbird-Update auf Version 91.4 die Sicherheitslücke geschlossen hat oder nicht. Teilweise wurde sogar auf Websites geschrieben, dass Thunderbird 91.4 die Sicherheitslücke nicht geschlossen hätte.
Tatsache ist jedoch, dass die „BigSig“-Sicherheitslücke in Thunderbird 91.4 geschlossen worden ist.
Grund für die Verwirrung ist vermutlich, dass die Liste geschlossener Sicherheitslücken in Thunderbird 91.4 nichts in dieser Art erwähnt. Das liegt aber daran, dass es sich dabei um keine Sicherheitslücke in Thunderbird selbst, sondern in NSS handelte, und Mozilla für NSS einen eigenen Sicherheits-Hinweis veröffentlicht hat.
Mozilla hat NSS im ESR-91-Zweig am 1. Dezember auf Version 3.68.1 aktualisiert. Thunderbird 91.4, der auf Mozillas ESR 91-Zweig basiert, nutzt den Code mit dem Stand vom 3. Dezember und damit bereits die gepatchte Version NSS 3.68.1.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
Einfache technische Erklärung: für eine Signatur stellt NSS 16 KB Speicher bereit, was auch völlig ausreicht. Aber es wurde vergessen zu prüfen ob die Signatur in einer Email auch wirklich kleiner als 16 KB ist, bevor man sie in diesen Speicher kopiert.
Wenn jemand Böses Mail mit einer manipulierten Signatur verschickt, die größer als 16 KB ist, dann kann der Angreifer per Buffer Overflow Code ausführen.
Wenn die Sicherheitslücke in NSS schon seit Jahren existiert und Firefox die Bibliothek auch verwendet, wie kann das dann sein das Firefox davon nicht betroffen war?
Dem ist wohl nicht so, aber das klingt fast so als wusste Mozilla schon länger davon.
Firefox nutzt den betroffenen Codepfad nicht.
Bitte stelle nicht irgendwelche abenteuerlichen Behauptungen auf. Die Sicherheitslücke wurde wenige Tage vor dem Update erst entdeckt. Hätte Mozilla früher davon gewusst, wäre diese logischerweise auch schon längst behoben gewesen. Jede andere Annahme ergibt überhaupt keinen Sinn.
Danke für die Antwort. Jetzt verstehe ich es.
Das war nicht meine Absicht. Was ich mit meinem Satzanfang "dem ist wohl nicht so,…" auch so meinte. Ich wollte damit lediglich sagen dass man das auch falsch verstehen kann. nichts anderes. Das Mozilla zeitnah auf Sicherheitslücken reagiert weis ich.
Dem ist definitiv so. Wie jede professionelle Softwareentwicklung benutzt auch Mozilla ein Versionsverwaltung (hier: git). Jeder kann ganz genau sehen an welchem Datum und sogar zu welcher Uhrzeit ein Code hinzugefügt/verändert wurde. Deswegen ist auch das Datum bzw. die Version bekannt seit wann sie Lücke existiert.
Ich finde das Verhalten übrigens nicht gut. Wenn man nicht nachvollziehen kann, woher Andere wissen wie alt die Lücke ist kann man einfach nachfragen anstatt eine falsche Behauptung aufzustellen.
Mercurial. 😉