Når det kommer til fuzzing, har Mozilla masser af troværdighed, og har gjort det i nogen tid, og alligevel blev dets værdsatte Network Security Services-bibliotek (NSS) ganske let slået ned af Google Project Zero's Tavis Ormandy.
I et blogindlæg, der er værd at bruge tid på, med titlen Dette burde ikke være sket, fandt Ormandy ud af, at hvis NSS blev lavet til at skabe en ASN.1-signatur, der var større end de maksimale 16384 bits, den forventede, overskrivning af hukommelsen ville forekomme.
“Hvad sker der, hvis du bare … laver en signatur, der er større end det? Nå, det viser sig, at svaret er hukommelseskorruption. Ja, virkelig,” skrev Ormandy.
“Den upålidelige signatur kopieres ganske enkelt ind i denne buffer med fast størrelse, og overskriver tilstødende medlemmer med vilkårlige angriberkontrollerede data. Fejlen er nem at reproducere og påvirker flere algoritmer.”
I betragtning af betegnelsen CVE-2021-43527 sagde Mozilla i sin rådgivning, at Firefox ikke var påvirket, men folk som Thunderbird, LibreOffice, Evolution og Evince blev “menes at være påvirket”.
Til Mozillas forsvar sagde Ormandy, at det har et sikkerhedsteam i verdensklasse og har været førende inden for fuzzing, men takket være det modulære design af NSS havde biblioteket ikke ende-til-ende-test, da hver del blev fuzzed uafhængigt . Dette blev forstærket af, at fuzzerne havde en grænse på 10.000 bytes på input, mens NSS ikke har en sådan grænse.
“Dette problem viser, at selv ekstremt velholdt C/C++ kan have fatale, trivielle fejl,” skrev Ormandy.
Hullet er blevet rettet i version 3.73.0 og 3.68.1 af NSS.
Relateret dækning
Apache HTTP Server Project-patches udnyttede nul-dages sårbarhedGoogle retter to alvorlige nul-dages fejl i ChromeSecurity-virksomheden står over for tilbageslag for at vente 12 måneder på at afsløre Palo Alto 0-dages Mozilla Firefox tiltræder browsere, der implementerer Global Privacy ControlMozilla Firefox slår ned på ondsindede tilføjelser, der bruges af 455.000 brugere. Bad Santa: Amazon, Facebook øverst på Mozillas frække liste over gaver, der krænker privatlivets fred. Udvikler | Sikkerheds-tv | Datastyring | CXO | Datacentre