Firefox: Sicherheitsloch „Memory-Dump“

Im Zuge eines Bugreports für Jitsi Meet kam raus, daß die Speicherfunktion im Firefox Modul „about:memory“ nicht nur den eigenen Speicherinhalt, sondern wohl auch den von anderen Prozessen abspeichern kann. So oder so, muß man aufpassen, was man heraus gibt.

Firefox: Sicherheitsloch „Memory-Dump“

Eine aktuelle Instanz von Jitsi Meet führt zusammen mit der „Hintergrund Blur“ Funktion der Videokonferenzsoftware zu einem massiven Speicherverbrauch von Firefox, der das System nach einiger Zeit zum Swap-of-Death treiben kann. Ob und wann das passiert, hängt natürlich stark von Eurem PC-Setup ab. Bei mir waren es 16 GB Hauptspeicher, die Firefox in knapp 3 Stunden mit 8+ GB eigenem Speicher gefüllt hatte, der Rest war vom System und OBS belegt, als das Problem aus heiterem Himmel auftrat. Da es sich um das LPD Live-Streaming handelte, hatte ich zum Glück noch eine zweite OBS Instanz in der Hinterhand, die das Streaming dann direkt übernommen hat.

Im Zuge des Bugreports an Mozilla wurde ein Speicherdump angefordert, der allerdings (aller Wahrscheinlichkeit nach) auch Daten des laufenden Matrixclientens enthielt, sowie sensible Zugangsdaten, die Firefox gerade in Benutzung hatte. Die teilweise 190 MB großen Textfiles von Hand nach sensiblen Informationen zu durchsuchen würde viel zu lange dauern. Insgesamt sprechen wir hier über eine etwas weniger als 1 GB große Textfilesammlung.

URLs, Userids und Matrixdaten

In den Files habe ich besuchte URLs mit GET Parametern, UserIDs für Jitsi und sämtliche Nutzernamen von dem Clienten bekannten Matrixbenutzern gefunden. Da Firefox nur mit einem Testbenutzer in Kontakt kam, kann es fast unmöglich Firefox gewesen sein, dessen Speicher die Benutzerkennungen von anderen Matrixaccounts enthielt.

Ich kann Euch nur raten, diese Textfiles vor dem Übersenden an den Support von Mozilla in Augenschein zu nehmen, damit Euch nicht sensible Daten abhanden kommen. Wenn der Bugreport im Tracker nicht als „Security“ Report markiert ist, kann jeder diese Datenfiles runterladen und darin nach Herzenslust rumstöbern.

Am Wochenende hatte erst von Golem den neuen Firefox-Absturzreport als „positiv für andere Software-Projekte“ bezeichnet. Nachdem was in meinem Dump ( nicht vom Absturztool erzeugt ) drin war, glaube ich das sofort, nur bin ich da anderer Ansicht. Ein Browser ist heute ein sehr sensibles Stück Datenhalde, da kann man nicht mehr einfach alles zum Hersteller schicken und schon gar nicht von an dem Problem unbeteiligten Prozessen.

Kleiner Lacher am Rande: Das angeforderte „Mozilla-Regressiontool“ 4.0.17 muß wohl auch erst einmal gefixt werden, es crasht nämlich beim Start hart und schmeißt einen Coredump 😉


Fontconfig warning: „/etc/fonts/conf.d/90-synthetic.conf“, line 5: unknown element „its:translateRule“
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 5: invalid attribute ‚translate‘
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 5: invalid attribute ’selector‘
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 6: invalid attribute ‚xmlns:its‘
Fontconfig error: „/etc/fonts/conf.d/90-synthetic.conf“, line 6: invalid attribute ‚version‘
Fontconfig error: Cannot load config file from /etc/fonts/fonts.conf
Fontconfig warning: FcPattern object weight does not accept value [0 205)
Speicherzugriffsfehler (Speicherabzug geschrieben)

Da ist wohl „einiges“ im Argen bei Mozilla 😉

Quelle: https://github.com/mozilla/mozregression/releases

Linux am Dienstag: Nachlese 13.4.2021

Das gestrige Linux am Dienstag Meeting ging bis spät in die Nacht, eine praktische Einführung in Matrix inklusive.

Linux am Dienstag: Nachlese 13.4.2021

Unser Hauptthema gestern Abend war Matrix. Wie funktioniert es, wo liegen Schwächen, was sind Stärken und vor allem, wie benutzt man das praktisch. Den praktischen Teil kann ich Euch hier natürlich nicht wiedergeben, aber die Theorie findet Ihr auf der Linux-am-Dienstag-Seite oder gleich hier: LUG-2021-Matrix

Matrix – Wie funktioniert das?

Als Anmerkung für Alle, die gestern Abend mit dabei waren, ich habe den Vortrag überarbeitet und alle Punkte die gestern nur frei erklärt wurden mit eingefügt. Ein kleiner Fauxpas ist mir da doch tatsächlich beim Tunnelserver unterlaufen, der heißt TURN, nicht TUN 🙂 Was das genau ist, wie es eingesetzt wurde, wurde mit den Vortrag eingebaut.

NASA und Opensource

Die NASA nervt die Entwickler von Curl derzeit mit Compliancenachfragen, weil auf neuesten Marsrover Linux läuft und da wohl Curl mit eingebunden ist. Wozu die da Curl brauchen könnten, weiß ich allerdings nicht.

Einer der Entwickler von Curl schickte dazu auf Twitter ein Foto rum, das Ihr unter diesem Link einsehen könnt: https://mobile.twitter.com/bagder/status/1379897937141063686/photo/1

(Ist absichtlich nicht verlinkt, weil ungewolltem Twitteraufruf usw. )

Update: KDE Connect Probleme mit Android News

Leider gibt es an der Front wenig erfreuliches zu berichten:

Die Android Version 1.16.x kann nicht mehr mit neueren KDE-Connects kommunizieren, die aber wiederum können das noch untereinander. Es ist also möglich von Fedora 32 ( das noch mit Android kann) zu Fedora 33 und 34 Daten auszutauschen, aber von F33+34 => Android geht das nicht mehr. Da es kein alleiniger Fedora Bug ist, wie sich im Pinephone Weltchat herausgestellt hat, wurde KDE informiert.

Bevor jetzt wieder jemand schnippisch sagt: „Das liegt bloß an der Firewall!
muß ich leider antworten: „Was für eine Firewall?“ Die war nämlich zu Testzwecken aus und die anderen KDE Connects im Netz konnten den betreffenen PC ja auch finden und kontaktieren 😉

Pinephone: Phoshupdate

Der Teil kann hier nachgelesen werden:

Pinephone: Phosh jetzt mit Auto-Screenrotation

Die Free-Software-Foundation-und-Richard-Stallman-Geschichte geht in nächste Runde

wie schon berichtet geht es bei der FSF mit RMS weiter:

FSF bleibt Ihrer Line mit RMS treu

Absprache für neuen Kurs: „Linux kennenlernen durch Hacken! :)“

vor einiger Zeit hatten wir in der alten BSLUG schon einmal versucht, den Benutzern die Linuxgrundlagen durch das Over-the-Wire-Lernspiel Bandit näher zubringen. Es wurde beschlossen, dies nächste Woche vorzustellen, die ersten Level gemeinsam zu machen und danach, in wöchentlichem Rhythmus, je einen neuen Level als Hausaufgabe zu präsentieren.

Dann zieht Euch mal warme Handschuhe über die schlecht durchbluteten Finger, wir gehen Passwörter von Servern klauen 😀

Anmerkung: Dies wird ein Live-Event werden, daher gibt davon keine Aufzeichnungen oder Vorträge zum Download, das wäre nicht zielführend für den Rest der Welt 😉

Linux am Dienstag: Programmankündigung 13.4.2021

Das Programm für Dienstag, 13.4.2021 19 Uhr:

Thema: Matrix – Wie funktioniert das?

News: NASA und Opensource
Update: KDE Connect Probleme mit Android
News: Pinephone Phoshupdate

Absprache für neuen Kurs: „Linux kennenlernen durch Hacken! :)“

Treffpunkt ist wie immer im Videochat: https://meet.cloud-foo.de/Linux ab 19 Uhr.