Danke edvoldi, zu Heise und Co. bin ich in den letzten Tagen nicht gekommen. Das wär mir glatt durchgegangen, zumindest bis zum nächsten BSI-Newsletter.
Der Bug ist für aus gutem Grund nicht einsehbar. So wissen wir leider nicht, ob das im Thunderbird bereits gefixt ist.
Schwierig ist, dass auch andere Programm diese NSS nutzen, wie das erwähnte LibreOffice. Das weiß man als Anwender in Regel nicht.
Ich habe die Info aus den Firefox-Forum. Sören hatte auch etwas dazu geschrieben.
Gruß
EDV-Oldie
Das ist ein ziemlich gemeines Ding, gegen das man sich schwer wehren kann. Soweit es den Thunderbird betrifft, E-Mails von unbekannten Absendern gar nicht erst anklicken, wäre eine erste Maßnahme. Ein vollständiger Schutz ist das aber immer noch nicht. Bei PDF-Readern usw. wird es noch schwieriger. Man sieht es den Dokumenten ja nicht an, ob sie eine Signatur tragen, bzw. erst, wenn es möglicherweise zu spät ist.
Was bleibt noch? Sandboxen würde eine weitere Schutzschicht einziehen. Oder gleich auf Linux oder macOS wechsel, unter der Annahme, dass der potentielle Schadcode für Windows ist. 
Kann man S/MIME temporär komplett deaktivieren, über eine pref?
Mich wundert es, dass es hier bisher so wenig Resonanz gibt. Dabei betrifft es prinzipiell jeden, der Thunderbird, LibreOffice oder ein anderes betroffenes Programm benutzt.
Die bösen Buben wissen hoffentlich noch nicht, wie man das Zertifikat genau präparieren muss. Das ist aber wohl nur eine Frage der Zeit. Deshalb sei nochmals erwähnt, dass das Anklicken einer solchen E-Mail bereits genügt und schon ist es zu spät.
Man muss dazu keine Anhänge öffnen oder irgendein in HTML eingebettetes JavaSript ausführen. Man kann einer solchen E-Mail auch nicht vorher ansehen, ob sie ein frisiertes S/MIME Zertifikat enthält oder nicht.
Das heißt auch, wenn man z.B. bei einer gut gemachten Phishing Mail genauer nachschauen will, ob die echt ist oder nicht, hat man im Augenblick des Nachschauens schon verloren. Verdächtige E-Mails also besser gar nicht erst anklicken, sondern per Webclient untersuchen.
Bei den PDF wird es noch schwieriger. Die können auch über Webseiten verteilt werden. Ich würde im Firefox, der ja nicht betroffen sein soll, daher derzeit auf den internen Reader setzen, solange nicht klar ist, ob der externe evtl. die NSS benutzt.
Die bösen Buben wissen hoffentlich noch nicht, wie man das Zertifikat genau präparieren muss.
Tavis Ormandy hat im Blog von Project Zero erläutert, worin die Lücke besteht. Die Eintrittskarte ist schlicht und einfach ein Zertifikat mit Überlänge. Das erzeugt einen Heap Overflow.
Mit dem Hausgebrauchswissen über Programmierung, wie ich es habe, kommt man damit zwar immer noch nicht weit, aber für einen Hacker gehört es zum kleinen Einmaleins, wie man den Overflow dann nutzen kann, um die Function Pointer zu manipulieren.
Also, ab in die Sandbox.
Also, ab in die Sandbox.
Machst du auch im Linux? Das Risiko ist hier ungleich geringer.
Machst du auch im Linux?
Bei mir (Linux Mageia 6 x86_64) starten der Feuerfuchs, der Donnervogel und der bessere Vogel jeweils über Firejail.
Gruß
Feuerdrache
Ich sollte das auch machen. Frisst ja kein Brot. Und Vorsicht ist immer noch besser als Nachtschicht.
Dieses BigSig ist echt unheimlich. Man erfährt kaum, wo NSS überall drin steckt.
Machst du auch im Linux? Das Risiko ist hier ungleich geringer.
Normalerweise nur mit den Browsern. Nun auch mit E-Mail. Zu LibreOffice muss ich mal schauen, ob da ein brauchbares Profil mitkommt, bzw. ob das angepasst werden muss.
Das Risiko unter Linux ist sicherlich geringer - keine Frage. Man muss auch mal schauen, inwieweit BigSig überhaupt ausgenutzt werden wird. Vielleicht spricht da schon bald niemand mehr drüber. (Es spricht ja jetzt schon kaum jemand drüber, was mich doch irritiert.)
Dennoch, da das Risiko auch unter Linux und macOS nicht null ist und vor allem, weil der Angriff ja quasi wie ein Drive-By ist, man ihn erst bemerkt, wenn es schon zu spät ist, schütze ich mich natürlich so gut ich kann. Schließlich gibt es die Möglichkeit ja. Da wäre ich fei bled, wenn ich sie nicht nutzen würde.
Hallo zusammen,
zur Ergänzung meines Beitrages #10.
Firejail nutze ich das schon seit einigen Jahren. Damals war dieser noch gar nicht in der Paketverwaltung meiner Linux-Distribution(en) integriert. Inzwischen ist dieses Werkzeug bei Linux Mageia in der Paketverwaltung integriert. Und ich gehe davon aus, dass dies in vielen anderen Linux-Distributionen inzwischen auch der Fall ist.
Meiner Erinnerung nach, bin gerade an einer WinDOSE und nicht an meinem heimischen Tuxrechner, müsste es ein vorgefertigtes Profil auch für LibreOffice geben.
Gruß
Feuerdrache
Firejail nutze ich das schon seit einigen Jahren.
Weiß ich doch
siehe Firejail: Sandbox für Linux
Im Ubuntu ist Firejail seit einer Weile dabei. Beim Zorin nicht. Das ist aber kein Problem. Es ist leicht nachzuinstallieren, ganz ohne Terminal, was der Zielgruppe entspricht. Ein Profil für LibreOffice kommt mit. Hier ist keine weitere Konfiguration nötig.
In meinem Fall gestaltet es sich noch ein wenig komplizierter, weil ich z.B. beim Firefox und beim Chromium das Profil im RAM laufen lasse. Das ist schneller und schont die SSD. Außerdem sind dann beim Beenden alle Cookies usw. weg. Startet man einfach über den Befehl "firejail firefox" klappt das nicht.
Beim Thunderbird und bei LibreOffice sieht die Sache anders aus. Hier ergibt es keinen Sinn, alles im RAM zu halten. Schließlich möchte man die Dokumente ja behalten.
Ja, lange ist's her ...
Wäre schön, wenn es da ... Du weißt vermutlich, was ist meine ...
Bezogen auf diese Sicherheitslücke ist es schlimm, dass Thunderbird 78.* nicht mehr in der 78er-Reihe aktualisiert werden kann, wie ich finde.
Ist das in Stein gemeißelt? Könnten die nicht doch eine Notausgabe machen? Mit vertretbarem Aufwand? MS macht so was auch. Man denke nur an XP.
Ist das in Stein gemeißelt?
Mehr oder minder schon. Das Problem ist, dass die Build-Umgebung für den 78er nicht mehr funktionierend existent ist, weil es da zu Problemen kam. Deshalb konnte schon der ursprünglich noch geplante 78.15.0 nicht mehr veröffentlicht werden.
Wir dürfen gespannt sein, wie schnell die Dists reagieren. Viele von denen sind aus Vorsicht noch auf der 78. Wenn es demnächst einen Fix gibt, hoffe ich doch, sie ziehen schnell nach. Wenn nicht, geben vielleicht ein noch paar mehr Leute dem BB ne Chance. Wenn man schon von der Dist abweichen muss.
