Pierwszego grudnia opublikowano informacje o wykrytej miesiąc wcześniej krytycznej podatności biblioteki NSS (Network Security Services), wykorzystywanej w narzędziach z rodziny Mozilla (m.in. program do odbioru poczty elektronicznej Thunderbird).
Podatne wersje biblioteki (błąd istnieje od 2012 roku!) nie potrafią poprawnie przetworzyć złośliwie sformatowanego podpisu cyfrowego – jeżeli jest on zbyt długi (a można taki podpis sobie wygenerować), następuje tzw. przepełnienie bufora. To bardzo groźny typ podatności, często umożliwiający wykonanie dowolnego kodu na komputerze zaatakowanego użytkownika. I tak właśnie jest w tym przypadku.
Zgodnie z informacją przekazaną przez Mozillę – przeglądarka Firefox nie jest podatna, natomiast często wykorzystywany program pocztowy Thunderbird, a także mniej powszechnie używane aplikacje korzystające z biblioteki NSS (LibreOffice, Evolution, Evince) – najprawdopodobniej już tak.
Aktualnie brak informacji o wykorzystywaniu luki w atakach, ale zagrożenie jest duże, ponieważ – w przypadku Thunderbirda – wystarczy, że program jedynie pobierze z serwera pocztowego przysłaną wiadomość ze złośliwym podpisem (nie trzeba jej otwierać!), aby stać się ofiarą ataku. Luka została załatana w wersjach NSS 3.73 i 3.68.1 ESR. Mozilla Thunderbird od wersji 91.3.0 zawiera poprawkę blokującą najgroźniejszy, opisany wyżej, scenariusz ataku. Uaktualnienie, które kompleksowo usunie zagrożenie (zawierające załatane wersje biblioteki NSS), zapowiadane jest na wersję 91.4.0.
Użytkownikom Thunderbirda zalecamy zatem weryfikację, czy korzystają z najnowszej dostępnej wersji (obecnie 91.3.2, można to sprawdzić w menu Pomoc -> O programie Thunderbird), a jeżeli nie – natychmiastową aktualizację.
Zwracamy szczególną uwagę na konieczność regularnych aktualizacji oprogramowania systemowego i użytkowego, co pozwoli uchronić się przed znanymi podatnościami bezpieczeństwa, często używanymi w masowych atakach. Należy również na co dzień pracować na koncie o standardowych (obniżonych) uprawnieniach, a nie na koncie administratora.
Więcej informacji dla zainteresowanych osób w języku angielskim:
– https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/ – informacja producenta
– https://googleprojectzero.blogspot.com/2021/12/this-shouldnt-have-happened.html – analiza techniczna
