6 Reaktionen

Thunderbird 91.4 behebt BigSig-Sicherheitslücke

Geschätzte Lesedauer:

Vor einigen Tagen machte eine Meldung die Runde, dass Anwendungen, welche Mozillas NSS-Bibliothek nutzen, von einer „BigSig“ getauften Sicherheitslücke betroffen waren. Nachdem Unklarheit herrschte, ob Thunderbird 91.4 die Sicherheitslücke geschlossen hat, soll dieser Artikel für Aufklärung sorgen.

Was ist „BigSig“?

BigSig ist der inoffizielle Name einer bereits seit Jahren existierenden, aber jetzt erst bekannt gewordenen Sicherheitslücke in den Network Security Services, kurz: NSS. Dabei handelt es sich um eine von Mozilla entwickelte Bibliothek, welche nicht nur in Firefox, sondern auch in anderen Anwendungen wie Thunderbird, LibreOffice, Evolution und Evince verwendet wird – und noch weiteren hier nicht genannten Anwendungen. Firefox selbst war von der Sicherheitslücke nicht betroffen.

An dieser Stelle möchte ich gar nicht auf die technischen Details von „BigSig“ eingehen. An dieser Stelle nur so viel: Bereits der Empfang einer S/MIME signierten E-Mail hätte eine Attacke einleiten können.

Mozilla behebt „BigSig“-Sicherheitslücke

Mozilla hat die Sicherheitslücke in NSS 3.68.1 respektive NSS 3.73 behoben. Anwendungen, welche NSS verwenden, müssen ihrerseits ein Update mit der aktualisierten NSS-Bibliothek ausliefern.

Thunderbird 91.4 liefert Sicherheits-Fix für „BigSig“ aus

Verwirrung herrschte nun teilweise darüber, ob das neuste Thunderbird-Update auf Version 91.4 die Sicherheitslücke geschlossen hat oder nicht. Teilweise wurde sogar auf Websites geschrieben, dass Thunderbird 91.4 die Sicherheitslücke nicht geschlossen hätte.

Tatsache ist jedoch, dass die „BigSig“-Sicherheitslücke in Thunderbird 91.4 geschlossen worden ist.

Grund für die Verwirrung ist vermutlich, dass die Liste geschlossener Sicherheitslücken in Thunderbird 91.4 nichts in dieser Art erwähnt. Das liegt aber daran, dass es sich dabei um keine Sicherheitslücke in Thunderbird selbst, sondern in NSS handelte, und Mozilla für NSS einen eigenen Sicherheits-Hinweis veröffentlicht hat.

Mozilla hat NSS im ESR-91-Zweig am 1. Dezember auf Version 3.68.1 aktualisiert. Thunderbird 91.4, der auf Mozillas ESR 91-Zweig basiert, nutzt den Code mit dem Stand vom 3. Dezember und damit bereits die gepatchte Version NSS 3.68.1.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

6 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Marcel
    schrieb am :

    Einfache technische Erklärung: für eine Signatur stellt NSS 16 KB Speicher bereit, was auch völlig ausreicht. Aber es wurde vergessen zu prüfen ob die Signatur in einer Email auch wirklich kleiner als 16 KB ist, bevor man sie in diesen Speicher kopiert.

    Wenn jemand Böses Mail mit einer manipulierten Signatur verschickt, die größer als 16 KB ist, dann kann der Angreifer per Buffer Overflow Code ausführen.

  2. Se
    schrieb am :

    Wenn die Sicherheitslücke in NSS schon seit Jahren existiert und Firefox die Bibliothek auch verwendet, wie kann das dann sein das Firefox davon nicht betroffen war?

     

    … bereits seit Jahren existierenden, aber jetzt erst bekannt gewordenen Sicherheitslücke …

     

    Dem ist wohl nicht so, aber das klingt fast so als wusste Mozilla schon länger davon.

  3. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    wie kann das dann sein das Firefox davon nicht betroffen war?

    Firefox nutzt den betroffenen Codepfad nicht.

    Dem ist wohl nicht so, aber das klingt fast so als wusste Mozilla schon länger davon.

    Bitte stelle nicht irgendwelche abenteuerlichen Behauptungen auf. Die Sicherheitslücke wurde wenige Tage vor dem Update erst entdeckt. Hätte Mozilla früher davon gewusst, wäre diese logischerweise auch schon längst behoben gewesen. Jede andere Annahme ergibt überhaupt keinen Sinn.

  4. Se
    schrieb am :

    Danke für die Antwort. Jetzt verstehe ich es.

    Bitte stelle nicht irgendwelche abenteuerlichen Behauptungen auf. Die Sicherheitslücke wurde wenige Tage vor dem Update erst entdeckt. Hätte Mozilla früher davon gewusst, wäre diese logischerweise auch schon längst behoben gewesen. Jede andere Annahme ergibt überhaupt keinen Sinn.

    Das war nicht meine Absicht. Was ich mit meinem Satzanfang "dem ist wohl nicht so,…" auch so meinte. Ich wollte damit lediglich sagen dass man das auch falsch verstehen kann. nichts anderes. Das Mozilla zeitnah auf Sicherheitslücken reagiert weis ich.

  5. Marcel
    schrieb am :

    Dem ist wohl nicht so,

    Dem ist definitiv so. Wie jede professionelle Softwareentwicklung benutzt auch Mozilla ein Versionsverwaltung (hier: git). Jeder kann ganz genau sehen an welchem Datum und sogar zu welcher Uhrzeit ein Code hinzugefügt/verändert wurde. Deswegen ist auch das Datum bzw. die Version bekannt seit wann sie Lücke existiert.

    Ich finde das Verhalten übrigens nicht gut. Wenn man nicht nachvollziehen kann, woher Andere wissen wie alt die Lücke ist kann man einfach nachfragen anstatt eine falsche Behauptung aufzustellen.

     

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Wie jede professionelle Softwareentwicklung benutzt auch Mozilla ein Versionsverwaltung (hier: git)

    Mercurial. 😉

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen