Når det kommer til fuzzing, har Mozilla rikelig med troverdighet, og har gjort det en stund, og likevel ble det dyrebare Network Security Services-biblioteket (NSS) ganske enkelt ødelagt av Google Project Zero's Tavis Ormandy.
I et blogginnlegg som er verdt tiden din, med tittelen Dette burde ikke ha skjedd, fant Ormandy ut at hvis NSS ble laget for å lage en ASN.1-signatur større enn de maksimale 16384 bitene den forventet, overskriving av minnet ville oppstå.
“Hva skjer hvis du bare … lager en signatur som er større enn det? Vel, det viser seg at svaret er minnekorrupsjon. Ja, virkelig,” skrev Ormandy.
“Den uklarerte signaturen kopieres ganske enkelt inn i denne bufferen med fast størrelse, og overskriver tilstøtende medlemmer med vilkårlige angriperkontrollerte data. Feilen er enkel å reprodusere og påvirker flere algoritmer.”
Gi betegnelsen CVE-2021-43527, sa Mozilla i sin rådgivning at Firefox ikke ble påvirket, men slike som Thunderbird, LibreOffice, Evolution og Evince ble “antatt å være påvirket”.
Til Mozillas forsvar sa Ormandy at det har et sikkerhetsteam i verdensklasse og har vært ledende innen fuzzing, men takket være den modulære utformingen av NSS, hadde ikke biblioteket ende-til-ende-testing, da hver del ble fuzzed uavhengig . Dette ble forsterket av at fuzzerne hadde en grense på 10 000 byte på inngang mens NSS ikke har noen slik grense.
“Dette problemet viser at selv ekstremt godt vedlikeholdt C/C++ kan ha fatale, trivielle feil,” skrev Ormandy.
Hullet har blitt lappet i versjon 3.73.0 og 3.68.1 av NSS.
Relatert dekning
Apache HTTP Server Project-oppdateringer utnyttet nulldagssårbarhetGoogle fikser to alvorlige nulldagersfeil i ChromeSecurity-selskapet møter tilbakeslag for å vente 12 måneder med å avsløre Palo Alto 0-dagers Mozilla Firefox slutter seg til nettlesere som implementerer Global Privacy Control Mozilla Firefox slår ned på ondsinnede tillegg som brukes av 455 000 brukere Bad Santa: Amazon, Facebook topper Mozillas slemme liste over gaver som krenker personvernet. Utvikler | Sikkerhets-TV | Databehandling | CXO | Datasentre