Die quelloffene Bürosoftware-Suite LibreOffice nutzt Mozillas NSS-Kryptografie-Bibliothek, die unter anderem die Transport Layer Security (TLS) umsetzt. Eine kürzlich entdeckte kritische Sicherheitslücke darin könnten Angreifer zum Ausführen von eingeschmuggelten Schadcode nutzen. Das könnte auch in LibreOffice gelingen. Mit aktualisierten Installationspaketen dichtet das Projekt die Sicherheitslücken ab. Eigentlich planten die LibreOffice-Entwickler, die nächsten Software-Versionen im Januar freizugeben. Aufgrund der Gefahr durch die Schwachstelle haben sie das Update nun jedoch vorgezogen. Die vom Entdecker Tavis Ormandy „BigSig“ getaufte Schwachstelle tat sich auf, da die NSS-Bibliothek beim Kopieren bestimmter Zertifikate nicht prüfte, ob der Zielpuffer groß genug war. DSA- und RSA-PSS-Signaturen größer als 16384 Bit überschrieben somit die dahinter liegenden Speicherbereiche mit Inhalten, die der Angreifer kontrolliert. Die Umleitung von Funktionszeigern, um derart eingeschleusten Code auszuführen, beschreibt Ormandy zudem als „trivial“. Die fehlerbereinigten Versionen LibreOffice 7.2.4 sowie 7.1.8 stehen jetzt zum Download bereit. Das LibreOffice-Projekt schreibt in einem Blog-Beitrag, dass es allen Nutzern empfehle, die Software zu aktualisieren. Mozilla hat ein eigenes Sicherheits-Advisory für die NSS-Lücke CVE-2021-43527veröffentlicht. Demnach ist zumindest Firefox nicht betroffen, weil es für die Zertifikatsprüfung die Bibliothek mozilla::pkix einsetzt. Andere Programme wie Thunderbird, Evince und Evolution sind hingegen wahrscheinlich anfällig, wenn sie eine verwundbare NSS-Bibliothek benutzen. Die Versionen NSS 3.73 und NSS ESR 3.68.1 beseitigen den Fehler und damit auch die Schwachstelle. Ein Update der jeweiligen Software ist jedoch nicht zwingend erforderlich; sofern sie keine eigene NSS-Version mitbringt, genügt ein systemweites Update des NSS-Pakets.
