Firefox: Sicherheitsloch „Memory-Dump“

Im Zuge eines Bugreports für Jitsi Meet kam raus, daß die Speicherfunktion im Firefox Modul „about:memory“ nicht nur den eigenen Speicherinhalt, sondern wohl auch den von anderen Prozessen abspeichern kann. So oder so, muß man aufpassen, was man heraus gibt.

Firefox: Sicherheitsloch „Memory-Dump“

Eine aktuelle Instanz von Jitsi Meet führt zusammen mit der „Hintergrund Blur“ Funktion der Videokonferenzsoftware zu einem massiven Speicherverbrauch von Firefox, der das System nach einiger Zeit zum Swap-of-Death treiben kann. Ob und wann das passiert, hängt natürlich stark von Eurem PC-Setup ab. Bei mir waren es 16 GB Hauptspeicher, die Firefox in knapp 3 Stunden mit 8+ GB eigenem Speicher gefüllt hatte, der Rest war vom System und OBS belegt, als das Problem aus heiterem Himmel auftrat. Da es sich um das LPD Live-Streaming handelte, hatte ich zum Glück noch eine zweite OBS Instanz in der Hinterhand, die das Streaming dann direkt übernommen hat.

Im Zuge des Bugreports an Mozilla wurde ein Speicherdump angefordert, der allerdings (aller Wahrscheinlichkeit nach) auch Daten des laufenden Matrixclientens enthielt, sowie sensible Zugangsdaten, die Firefox gerade in Benutzung hatte. Die teilweise 190 MB großen Textfiles von Hand nach sensiblen Informationen zu durchsuchen würde viel zu lange dauern. Insgesamt sprechen wir hier über eine etwas weniger als 1 GB große Textfilesammlung.

URLs, Userids und Matrixdaten

In den Files habe ich besuchte URLs mit GET Parametern, UserIDs für Jitsi und sämtliche Nutzernamen von dem Clienten bekannten Matrixbenutzern gefunden. Da Firefox nur mit einem Testbenutzer in Kontakt kam, kann es fast unmöglich Firefox gewesen sein, dessen Speicher die Benutzerkennungen von anderen Matrixaccounts enthielt.

Ich kann Euch nur raten, diese Textfiles vor dem Übersenden an den Support von Mozilla in Augenschein zu nehmen, damit Euch nicht sensible Daten abhanden kommen. Wenn der Bugreport im Tracker nicht als „Security“ Report markiert ist, kann jeder diese Datenfiles runterladen und darin nach Herzenslust rumstöbern.

Am Wochenende hatte erst von Golem den neuen Firefox-Absturzreport als „positiv für andere Software-Projekte“ bezeichnet. Nachdem was in meinem Dump ( nicht vom Absturztool erzeugt ) drin war, glaube ich das sofort, nur bin ich da anderer Ansicht. Ein Browser ist heute ein sehr sensibles Stück Datenhalde, da kann man nicht mehr einfach alles zum Hersteller schicken und schon gar nicht von an dem Problem unbeteiligten Prozessen.

Kleiner Lacher am Rande: Das angeforderte „Mozilla-Regressiontool“ 4.0.17 muß wohl auch erst einmal gefixt werden, es crasht nämlich beim Start hart und schmeißt einen Coredump 😉


Fontconfig warning: „/etc/fonts/conf.d/90-synthetic.conf“, line 5: unknown element „its:translateRule“
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 5: invalid attribute ‚translate‘
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 5: invalid attribute ’selector‘
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 6: invalid attribute ‚xmlns:its‘
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 6: invalid attribute ‚version‘
Fontconfig error: Cannot load config file from /etc/fonts/fonts.conf
Fontconfig warning: FcPattern object weight does not accept value [0 205)
Speicherzugriffsfehler (Speicherabzug geschrieben)

Da ist wohl „einiges“ im Argen bei Mozilla 😉

Quelle: https://github.com/mozilla/mozregression/releases

Linux am Dienstag: Programmauszug für den 25.5.

Linux am Dienstag Programmauszug für Morgen, den 25.5. ab 19:

Datenleak bei Impfzentrum in Niedersachsen
Bandit 10->11
Das Freenode Deaster
Linux Kernel 5.13 und die Uni Minasotta
Pinephone: „OMG – Ich hab es getan.“

und zu allem Überfluss geht es am Ende noch über UFOs und wie die den Amis auf den Keks gehen 😉

Wie immer auf https://meet.cloud-foo.de/Linux .

Gnome 40, Tablet & RDP

Als mein Pinephone heute morgen mal wieder soooo kleine Buchstaben zeigte, dachte ich mir: „Du hast doch RDP auf dem Tablet, wieso nicht damit aufs Pine?“ Gedacht, getan.

Gnome 40, Tablet & RDP

Auch wenn der Android FreeRDP Build ein bisschen zickig war, hat er am Ende doch die Verbindung hergestellt. Dabei kam es dann auch noch zu einer Ungereihmtheit, die unten am Dokumentiert ist. Mal sehen, wer die von Euch als erster in den Kommentaren postet 😉

Nicht wundern, auf allen Bildern sind Markierungen vom Screenshot unter Android zu sehen, das kann irgendwie nicht anders als sich mitzuteilen 😉

Es fängt ja erst einmal gut an, um nicht zu sagen, auf einem Tablet echt passend:

Allerdings wenn man dann zur Programmauswahl kommt, stellt man leider folgendes fest:

Suboptimale Namen an Symbolen

Das Layout hat halt noch seine Macken. Benutzbar ist es allerdings, wenn auch mit Abstrichen. Beispielsweise kann man nicht nach unten scrollen, dazu muß man erst die FreeRDP eigene Touchmaus aktivieren und auch damit klappt das nicht immer. Alles was man aber mit „Links“ machen kann, geht auch so.

Gnome Swipegesten funktionieren nicht, aber das wird am RDP liegen, nicht an Gnome.

Jetzt das Suchbild für Euch:

Mal sehen, wem es auffällt 🙂

Im Bild rechts ist auch die Touchmaus zu sehen, aber die ist nicht gemeint 😉

Wenn man aus dem RDP ( in dem Fall als ROOT ) jemanden mit Calls anruft, geht Calls auch auf der Desktopsession des Pineusers auf und sendet den Ton natürlich an die lokalen Lautsprecher des Pinephones. Telefonieren kann man also über RDP noch nicht. Witzig wars aber schon irgendwie 🙂

Demnächst mehr davon.