CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Nein, heute geht es nicht um Dichtung, eher um Undichtigkeiten in Betriebssystemen 😉

CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Google’s Projekt Zero hat im Oktober eine Serie von kritischen Bugs offengelegt, mit deren Hilfe iOS, Android, Windows, Macs und Linuxsysteme ĂŒbernommen werden konnten. Die LĂŒcken sind so groß, daß Apple sogar noch Iphone 5s aktualisiert und die sind seit Jahren im End-of-Live.

Ein Blick auf eine dieser LĂŒcken zeigte, daß diese auch fĂŒr Linux vorhanden war, aber unter dem Radar bliebt: FreeType < 2.10.4

„Bug #1890210 – CVE-2020-15999 freetype: heap-based buffer overflow via malformed ttf files“

Red Hat hat dazu im Bugreport geschrieben:

„A flaw was found in freetype in the way it processes PNG images embedded into fonts. A crafted TTF file can lead to heap-based buffer overflow due to integer truncation in Load_SBit_Png function.“

Wer in den letzten Tagen die Updates verfolgt hat, weiß, daß es fĂŒr Chrome, FireFox, Thunderbird eine schere SicherheitslĂŒcke beim Webseitenaufruf gab. Über den Bug im FreeType, einer Font-Rendering-Engine, die auch und gerade in Webbrowsern genutzt wird, konnte mit Hilfe eines manipulierten Fontfiles, und da zĂ€hlen auch WebFonts zu, das komplette System ĂŒbernommen werden.

Diese LĂŒcke betraf uns alle, und mit alle meine ich wirklich ALLE auf dem Planeten.

Wie kann eine so simple Sache wie einen Fontrendern, zu einer SystemĂŒbernahme fĂŒhren? Das liegt daran, daß es sich hierbei wohl um den ersten Schritt in einer ganzen Exploitchain handelt. Hat man erstmal den Fuß im Chrome oder Firefox, muß man nur noch dort ausbrechen können und das war bei Chrome ĂŒber einen Sandbox-Escape möglich. Danach findet sich im Kernel schon eine Schwachstelle, gerade bei Handies.

Von der Tragweite der LĂŒcke mal abgesehen, rankt sich um die Google Veröffentlichung noch einiges andere. In der Szene munkelt man von „Spionagekram“, wozu auch paßt, daß keiner der Beteiligten dazu irgendwas sagen möchte. Nachdem der Exploit verbrannt ist, dĂŒrften die frĂŒheren Nutzer ziemlich sauer auf Google sein. Das Google uns aber nicht sagen kann, woher die Exploits stammen und wie Sie darauf aufmerksam wurden, spricht dafĂŒr, daß es ein „us-heimischer“ Dienst war, sonst wĂ€ren die Antworten vermutlich anders. Aber, genaueres weiß man nicht, da keiner reden will.

Also feiert, daß ein Angriff weniger auf Euch möglich ist und wer von Euch Software schreibt, denkt bitte daran, wirklich sauber zu arbeiten, weil auch die unbedeutendste Lib einen immensen Schaden anrichten kann!

Firefox & Thunderbird: neue Remote-Code-Execution Schwachstelle

Warnung vom BSI:

10.11.2020 – TW-T20-0194

Mozilla Firefox/Thunderbird: Schwachstelle ermöglicht AusfĂŒhren von beliebigem Programmcode mit Benutzerrechten

Firefox & Thunderbird: neue Remote-Code-Execution

Betroffen sind :

  • Mozilla Firefox < 82.0.3

  • Mozilla Firefox ESR < 78.4.1

  • Mozilla Thunderbird < 78.4.2

Bekannt wurde die Schwachstelle bei einem Hackingwettbewerb in China:

„CVE-2020-26950: Write side effects in MCallGetProperty opcode not accounted for

In certain circumstances, the MCallGetProperty opcode can be emitted with unmet assumptions resulting in an exploitable use-after-free condition.“

Also, Updaten, Updaten.

Mozilla: welche 250 Mitarbeiter entlassen wurden

Moin,

wenn man dem TwittergerĂŒcht ( mehr ist es imho nicht ) glaubt, wurden Teile des Security Teams von Mozilla vor die TĂŒr gesetzt. Andere Twitteruser wiederum melden sich als „unser Gecko Team“ hats geschafft und auch andere Bestandteile hĂ€tten sich da zu Wort gemeldet.

Mozilla: welche 250 Mitarbeiter entlassen wurden

Kann irgendwer von denen beweisen, daß er dort arbeitet oder gearbeitet hat? Ich weiß es nicht.

Wenn man das so liest und es fĂŒr bare MĂŒnze nimmt, wundert es nicht wirklich, was da so in den letzten Versionen von Firefox rausgekommen ist. Das ist kein einheitliches Produkt, das ist eine Ansammlung von Bestandteilen.

Und um diesem Beitrag die nötige inhaltliche Kontroverse zu geben:

Scheiße, war der FireFox gestern effektiv 😀

Das muß ich kurz erklĂ€ren. Gestern Abend war Meet Jitsi VideoConf der BSLUG. Ich sahs unten mit dem Tablet und hatte mit Chromium daran teilgenommen. Nach rund 38 Minuten waren nur noch 54 % Akkuladung vorhanden, die CPU Frequenz der 4 Kerne lag dauerhaft bei 2.2 GHz, was ohne Turbo die grĂ¶ĂŸtmögliche Einstellung ist und mit dem grĂ¶ĂŸten Stromverbrauch gleichzusetzen ist. Keine 20 Minuten spĂ€ter waren es nur noch 15 %.

Im Top nachgesehen lief Chromium als einziger Prozess mit voller Last. Daraufhin habe ich den beendet und die VC mit Firefox weiter gemacht und siehe da, die Last ging runter. FF hat ~40% weniger Energie fĂŒr die gleiche Leistung verbraucht als Chromium ( Freeworld Build von RPMFusion ).

Jetzt wĂ€rs schön rauszubekommen wieso das so war, weil der Chromium-Freeworld damit wirbt, HW UnterschĂŒtzung zu haben. Das wird i.d.R. mit mehr Leistung pro Watt im der Verbindung gebracht, ergo weniger CPU Leistung und Energieverbrauch, als ohne HW UnterstĂŒtzung.

Um den Schluß mit oben zu bekommen, ich hoffe nicht, daß sie die Energieoptimierungsexperten rausgeworfen haben, weil die haben nachweislich was geleistet 😉

RCE: Firefox 79.0 Update einspielen

Mojn, Moin,

bitte spielt mal Eure FireFox Updates auf 79.0 ein, da <79 leider eine RCE Schwachstelle hat ( Remote Code Execution ). Also das Schlimmste vom Schlimmen.

RCE: Firefox 79.0 Update einspielen

Das BSI-BĂŒrger-Cert schreibt dazu:

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Mozilla Firefox und Mozilla
Thunderbird ausnutzen, um Schadcode auszufĂŒhren, einen Absturz zu verursachen, vertrauliche
Informationen auszuspĂ€hen oder Sicherheitsvorkehrungen zu umgehen. Zur Ausnutzung genĂŒgt es, eine bösartige E-Mail, Webseite oder einen Link dorthin zu öffnen.

so spielt Ihr das Update fĂŒr Fedora ein:

sudo dnf -y update –enablerepo=updates-testing firefox

Einfach noch das Rootpasswort bestÀtigen, fertig.

Cato der Ältere meinte dazu ĂŒbrigens: Ave RPM!

Wer wissen will, was das jetzt sollte, die BS LUG trifft sich einmal die Woche zu einem VideoChat, da löse ich das auf 😉

Netflix, Firefox und die 1080p – Teil 2

Moin,

wer heute frĂŒh schon Netflix mit seinem 1080p gepimpten Firefox sehen wollte, wird leider feststellen, daß dies nicht mehr geht. Schuld ist eine Änderung im Netflix Javascriptcode, der mit den Anpassungen fĂŒr 1080p in eine Endlosschleife ĂŒbergeht. Die JS-Engine in Firefox semmelt dann erwartungsgemĂ€ĂŸ ab und nichts passiert.

Abhilfe schafft das deaktivieren den 1080p Addons 🙁

Leider gibt es keine Lösung fĂŒr das Problem.

Ich habe den Entwickler schon kontaktiert, aber ob der noch was macht .. ich glaubs nicht. Ich denke, es wird Zeit, daß wir uns als Netflixbenutzer vereinen und Netflix die Pistole auf die Brust setzen und endlich 1080p+ fĂŒr FireFox und Linux fordern! Das es problemslos funktionieren wĂŒrde, hat man ja gesehen. Vielleicht bekomme ich dann auch endlich 3k fĂŒrs Surface.

Chrome ist ja leider auch keine Hilfe, es bringt nÀmlich auch keine 1080p zustande.

 

Firefox 76 Security Update einspielen

Es ist mal wieder soweit, ein „Firefox Securityupdate“ muß eingespielt werden: Firefox 76

Hinweis: Alle Anweisungen beziehen sich auf Fedora.

Firefox 76 Security Update einspielen

Diesmal ist es eine LĂŒcke in der Speicherverwaltung:

* Mozilla: Memory safety bugs fixed in Firefox 76 and Firefox ESR 68.8
(CVE-2020-12395)

Leider ist es diesmal nicht ganz so einfach mit dem Update wie sonst, da auch das NSS aktualisiert werden muß, was einiges an Paketen bedeutet, bei mir waren es:

firefox-76.0-2.fc30.x86_64.rpm
nss-3.51.1-1.fc30.i686.rpm
nss-3.51.1-1.fc30.x86_64.rpm
nss-softokn-3.51.1-1.fc30.i686.rpm
nss-softokn-3.51.1-1.fc30.x86_64.rpm
nss-softokn-freebl-3.51.1-1.fc30.i686.rpm
nss-softokn-freebl-3.51.1-1.fc30.x86_64.rpm
nss-sysinit-3.51.1-1.fc30.x86_64.rpm
nss-tools-3.51.1-1.fc30.x86_64.rpm
nss-util-3.51.1-1.fc30.i686.rpm
nss-util-3.51.1-1.fc30.x86_64.rpm

Die 686 Pakete ( 32 Bit ) sind nötig, wenn Ihr z.b. Wine32 laufen habt, ansonten werdet Ihr die nicht mehr brauchen. Um rauszubekommen, welche Pakete Ihr habt, gebt in die Konsole ein:

rpm -qa | grep ^nss | sort

und schon habt Ihr eine Liste mit Paketnamen, die Ihr nur noch abarbeiten mĂŒĂŸt 🙂

Leider gibt es die Pakete noch nicht im Testing-Repo, sonst könntet Ihr die per DNF Update automatisch einspielen lassen, so mĂŒĂŸt Ihr das ĂŒber diesen Befehl machen:

sudo dnf update ./nss*rpm ./firefox*rpm

Daher hier fĂŒr Euch die Downloadlinks zu den Paketbuilds im Koji:

Downloadlinks:

FF 76 FC30: https://koji.fedoraproject.org/koji/buildinfo?buildID=1503483

FF 76 FC31 : https://koji.fedoraproject.org/koji/buildinfo?buildID=1503481

FF 76 FC32: https://koji.fedoraproject.org/koji/buildinfo?buildID=1503472

NSS FC30: https://koji.fedoraproject.org/koji/buildinfo?buildID=1502816

NSS FC31: https://koji.fedoraproject.org/koji/buildinfo?buildID=1502815

NSS FC32: https://koji.fedoraproject.org/koji/buildinfo?buildID=1502814

Wer möchte kann ja im Bodhi einen positiven Test vermerken, damit die Pakete schneller ins Stable Repo kommen: https://bodhi.fedoraproject.org/updates/FEDORA-2020-f389eab5d1

Schwachstelle in Thunderbird < 68.7

Es ist eigentlich schon gute Tradition, daß Thunderbird zwei-drei Tage nach Firefox aktualisiert werden muß. Ratet mal, es ist mal wieder soweit 🙂

Schwachstelle in Thunderbird < 68.7

Wer jetzt Updaten möchte, hier ist das FC30 Paket:

https://kojipkgs.fedoraproject.org//packages/thunderbird/68.7.0/1.fc30/x86_64/thunderbird-68.7.0-1.fc30.x86_64.rpm

Es handelt sich (natĂŒrlich) um die gleichen LĂŒcken im Javascript, die auch im Firefox < 75.0 drin waren.

Firefox 75 – Adressbar wieder auf normal bekommen

Geht Euch diese neue Adressleiste im Firefox 75 auf so auf den Keks? Wollt Ihr Sie wieder loswerden?

Firefox 75 – Adressbar wieder auf normal bekommen

Euch kann geholfen werden. Geht in die „about:config“ ( einfach in der Adressenleiste eingeben ) und such nach diesen 4 Werten:

browser.urlbar.openViewOnFocus false
browser.urlbar.update1 false
browser.urlbar.update1.interventions false
browser.urlbar.update2.expandTextOnFocus false

Die alle auf FALSE stellen und den Browser beenden und neustarten. Erledigt.

Security Update: Firefox 75 ist da

Da hatten wir quasi gestern erst die Meldung, daß wir uns 74.0.1 updaten mĂŒĂŸten und schon mĂŒssen wir auf Firefox 75.0 updaten, weil auch in der 74.0.1 ein Sicherheitsloch von der GrĂ¶ĂŸe New Yorks klafft 🙁

Security Update: Firefox 75 installieren

Hier könnt Ihr Euch vorab die Firefox Versionen fĂŒr Eurer Fedora ziehen:

https://kojipkgs.fedoraproject.org//packages/firefox/75.0/1.fc30/x86_64/firefox-75.0-1.fc30.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/75.0/1.fc31/x86_64/firefox-75.0-1.fc31.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/75.0/1.fc32/x86_64/firefox-75.0-1.fc32.x86_64.rpm

Die Installation ist dann ganz einfach, wenn Ihr mit der Konsole im Downloadverzeichnis seid:

sudo dnf update ./firefox-75*rpm

Ein Doppelklick per Dateiexplorer geht natĂŒrlich auch, dann öffnet sich die Softwareverwaltung und fragt Euch nach dem Rootpasswort und schon wird es auch so installiert.

Der erste Eindruck ist leider „AAAAARGGGS!“ weil die Adressleiste wird jetzt abartig groß! Das sieht so dĂ€mlich aus!

Fedora 30 Firefoxupdate 74.0.1 verfĂŒgbar

Mit dem Security-Update von Firefox auf 74.0.1 gab es eine Probleme beim Bau des Paketes, die konnten heute endlich ausgerÀumt werden.

Fedora 30 Firefoxupdate 74.0.1 verfĂŒgbar

Wer sich gleich das Update saugen möchte, weil er/sie/es zu recht nicht mehr warten kann, der kann dies hier tun:

https://kojipkgs.fedoraproject.org//packages/firefox/74.0.1/3.fc30/x86_64/firefox-74.0.1-3.fc30.x86_64.rpm

Die FC31/32/33 Version davon ist bereits im Stable gepusht worden, so daß Ihr diese bereits habt. Was da das Problem war, wurde leider nicht mitgeteilt.

Installiert bekommt man das Update so :

sudo dnf update ./firefox-74.0.1-3.fc30.x86_64.rpm

wenn Ihr im gleichen Verzeichnis wie Eure Downloaddatei seid 😉