När det kommer till fuzzing har Mozilla gott om trovärdighet, och har gjort det under en tid, och ändå slogs dess uppskattade Network Security Services (NSS)-bibliotek ganska enkelt av Google Project Zeros Tavis Ormandy.
I ett blogginlägg väl värt din tid, med titeln Detta borde inte ha hänt, fann Ormandy att om NSS skapades en ASN.1-signatur större än de maximala 16384 bitar den förväntade sig, skrevs över minnet skulle inträffa.
“Vad händer om du bara … gör en signatur som är större än så? Tja, det visar sig att svaret är minneskorruption. Ja, verkligen”, skrev Ormandy.
“Den opålitliga signaturen kopieras helt enkelt till denna buffert med fast storlek och skriver över angränsande medlemmar med godtycklig angriparkontrollerad data. Felet är enkelt att reproducera och påverkar flera algoritmer.”
Med tanke på beteckningen CVE-2021-43527 sa Mozilla i sin rådgivning att Firefox inte påverkades, men sådana som Thunderbird, LibreOffice, Evolution och Evince “troddes vara påverkade”.
Till Mozillas försvar sa Ormandy att det har ett säkerhetsteam i världsklass och har varit ledande inom fuzzing, men tack vare den modulära designen av NSS hade biblioteket inte end-to-end-testning eftersom varje del fuzzades oberoende av varandra. . Detta förvärrades av att fuzzers hade en gräns på 10 000 byte på inmatning medan NSS inte har någon sådan gräns.
“Det här problemet visar att även extremt välskött C/C++ kan ha ödesdigra, triviala misstag,” skrev Ormandy.
Hålet har korrigerats i versionerna 3.73.0 och 3.68.1 av NSS.
Relaterad täckning
Apache HTTP Server Project patchar utnyttjade nolldagars sårbarhetGoogle åtgärdar två allvarliga nolldagarsbrister i ChromeSecurity-företaget möter motreaktioner för att ha väntat i 12 månader för att avslöja Palo Alto 0-dayMozilla Firefox ansluter webbläsare som implementerar Global Privacy ControlMozilla Firefox slår ner på skadliga tillägg som används av 455 000 användare Bad Santa: Amazon, Facebook toppar Mozillas stygga lista över integritetskrossande gåvor Utvecklare | Säkerhets-TV | Datahantering | CXO | Datacenter