Unplanmäßige Sicherheits-Updates: LibreOffice 7.2.4 und 7.1.8

Eigentlich sollte die Entwicklungsschiene 7.1 mit der Veröffentlichung von LibreOffice 7.1.7 enden und auch der Support ist schon am 30. November 2021 ausgelaufen. Doch nur einen Tag später veröffentlichte Mozilla Sicherheits-Updates für seine Network Security Services (NSS 3.73 und 3.68.1 ESR), durch die der kritische Speicherfehler CVE-2021-43527 (BigSig) behoben wurde. Dieser Fix wurde in LibreOffice 7.2.4 und 7.1.8 integriert.

Tavis Ormandy von Googles Project Zero hatte BigSig entdeckt und dokumentiert. Es handelt sich um einen simplen Stapelüberlauf bei der Verarbeitung von DER-kodierten DSA- und RSA-PSS-Signaturen, da diese ohne vorherige Überprüfung ihrer tatsächlichen Größe in einen 2048 Byte großen Puffer geschrieben werden. Ist die Signatur zu lang, überschreibt sie den angrenzenden Speicherbereich, was Angreifer zum Deponieren von Schadcode missbrauchen können. Es scheint auch kein großes Problem zu sein, diesen Schadcode gezielt anzuspringen und auszuführen.

Ormandy hat eine Obduktion der Schwachstelle (Titel: This shouldn't have happened: A vulnerability postmortem) durchgeführt und zeigt darin auf, wie dieser triviale Fehler trotz umfangreicher Kontrollen immer wieder durchrutschen konnte. Der betroffene Code datiert auf den 17. Oktober 2003 und ist somit gerade volljährig geworden. Ausnutzbar ist die Sicherheitslücke allerdings erst seit Juni 2012 und somit seit neuneinhalb Jahren. Konkret bedeutet dies: Falls eine Anwendung mit CMS, S/MIME, PKCS #7 oder PKCS #12 kodierte Signaturen unter Zuhilfenahme von NSS verarbeitet, ist diese sehr wahrscheinlich angreifbar. Kommt NSS nur zur Validierung von Zertifikaten oder für andere Funktionen (TLS, X.509, OCSP oder CRL) zum Einsatz, kann die Applikation verwundbar sein. Als betroffen gelten E-Mail-Anwendungen sowie PDF-Betrachter, darunter Thunderbird und LibreOffice.

Download:

• LibreOffice 7.2.4
• LibreOffice 7.1.8