Der (IT) Blog aus Braunschweig
Kleines Follow-Up zu diesem Artikel:
Das Fedora Team hat die SHA-1 Sperre vorläufig aus dem Paket nss zurück genommen und ins Stable Repo gepusht, damit Firefox nicht gleich zusammenbricht. Damit könnt Ihr jetzt wieder bedenkenlos die Pakete updaten.
Früher oder später wird das aber scharf geschaltet werden. Mal sehen wann Mozilla seine Entwickler mit sha-256 beglücken wird.
Kleine Warnung, falls Ihr auf Eurem System nss zur kryptografischen Absicherung einsetzt, und das werden einige von Euch sein: Eure Firefox Addons werden nicht mehr funktionieren.
Wer auf seinem System nss drauf hat, sollte sich auf einige gefasst machen. Wenigstens für Fedora wurde die Policy von nss mit der Version 3.59 so verschärft, daß keine Checksummen mehr mit SHA-1 erlaubt sind. Das wirkt sich dramatisch auf Plugins von Firefox aus, da dort noch viele Addons unter Verwendung von SHA-1 signiert sind.
Fedora hat die Verteilung von nss 3.59 daher vorläufig eingestellt.
Falls bei Euch bereits nss 3.59 in der verschärften Version installiert ist und Eurer Firefox über die Addons meckert, dann gibt es leider nur einen Weg: alle Addons löschen und frisch installieren.
Ein Rücksichern alter Firefoxprofile und downgraden von nss ist laut Berichten auf der Fedora Mailingliste leider nicht unmittelbar von Erfolg gekrönt. Möglicherweise wird Löschen und neuinstallieren der einzige Weg bleiben.
Nein, heute geht es nicht um Dichtung, eher um Undichtigkeiten in Betriebssystemen 😉
Google’s Projekt Zero hat im Oktober eine Serie von kritischen Bugs offengelegt, mit deren Hilfe iOS, Android, Windows, Macs und Linuxsysteme übernommen werden konnten. Die Lücken sind so groß, daß Apple sogar noch Iphone 5s aktualisiert und die sind seit Jahren im End-of-Live.
Ein Blick auf eine dieser Lücken zeigte, daß diese auch für Linux vorhanden war, aber unter dem Radar bliebt: FreeType < 2.10.4
Red Hat hat dazu im Bugreport geschrieben:
„A flaw was found in freetype in the way it processes PNG images embedded into fonts. A crafted TTF file can lead to heap-based buffer overflow due to integer truncation in Load_SBit_Png function.“
Wer in den letzten Tagen die Updates verfolgt hat, weiß, daß es für Chrome, FireFox, Thunderbird eine schere Sicherheitslücke beim Webseitenaufruf gab. Über den Bug im FreeType, einer Font-Rendering-Engine, die auch und gerade in Webbrowsern genutzt wird, konnte mit Hilfe eines manipulierten Fontfiles, und da zählen auch WebFonts zu, das komplette System übernommen werden.
Diese Lücke betraf uns alle, und mit alle meine ich wirklich ALLE auf dem Planeten.
Wie kann eine so simple Sache wie einen Fontrendern, zu einer Systemübernahme führen? Das liegt daran, daß es sich hierbei wohl um den ersten Schritt in einer ganzen Exploitchain handelt. Hat man erstmal den Fuß im Chrome oder Firefox, muß man nur noch dort ausbrechen können und das war bei Chrome über einen Sandbox-Escape möglich. Danach findet sich im Kernel schon eine Schwachstelle, gerade bei Handies.
Von der Tragweite der Lücke mal abgesehen, rankt sich um die Google Veröffentlichung noch einiges andere. In der Szene munkelt man von „Spionagekram“, wozu auch paßt, daß keiner der Beteiligten dazu irgendwas sagen möchte. Nachdem der Exploit verbrannt ist, dürften die früheren Nutzer ziemlich sauer auf Google sein. Das Google uns aber nicht sagen kann, woher die Exploits stammen und wie Sie darauf aufmerksam wurden, spricht dafür, daß es ein „us-heimischer“ Dienst war, sonst wären die Antworten vermutlich anders. Aber, genaueres weiß man nicht, da keiner reden will.
Also feiert, daß ein Angriff weniger auf Euch möglich ist und wer von Euch Software schreibt, denkt bitte daran, wirklich sauber zu arbeiten, weil auch die unbedeutendste Lib einen immensen Schaden anrichten kann!