Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (10.01.2018):
Die Sicherheitsupdates von Mozilla zur Behebung der Spectre-Schwachstellen
in Firefox wurden für Fedora 26 und 27 nachträglich in die Version 52.5.3
des Browsers GNUZilla Icecat übernommen. Die entsprechenden
Sicherheitsupdates stehen im Status ‘testing’ bereit.
Version 2 (08.01.2018):
Canonical stellt für Ubuntu 17.10, Ubuntu 17.04 Ubuntu 16.04 LTS und
Ubuntu 14.04 LTS Sicherheitsupdates für Mozilla Firefox auf Version 57.0.4
bereit. Für Fedora 26 und 27 stehen Sicherheitsupdates auf diese Version
im Status ‘stable’ (Fedora 27) beziehungsweise ‘pending’ (Fedora 26)
bereit. In allen Sicherheitshinweisen wird neben ‘Spectre’ (CVE-2017-5715,
CVE-2017-5753) auch die Schwachstelle ‘Meltdown’ (CVE-2017-5754) erwähnt.
Mozilla selbst hat zu dieser Schwachstelle bisher keine Angaben gemacht.
In einem Update auf den Blog-Post zum Thema kündigt der Hersteller an,
dass eine der beiden mit Firefox 57.0.4 eingeführten Mitigationen gegen
‘Spectre’ mit der nächsten geplanten Aktualisierung auch in Firefox ESR zu
finden sein wird. Die Veröffentlichung von Firefox 52.6 ESR ist für den
23. Januar 2018 geplant.
Version 1 (05.01.2018):
Neues Advisory
Betroffene Software:
IceCat <= 52.5.3 Mozilla Firefox < 57.0.4 Betroffene Plattformen: Apple macOS Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Canonical Ubuntu Linux 17.10 GNU/Linux Microsoft Windows Red Hat Fedora 26 Red Hat Fedora 27 Die Untersuchungen der beiden in Mikroprozessoren bestehenden, unter dem Namen 'Spectre' bekannt gewordenen Schwachstellen hat ergeben, dass die bisher als lokal oder auf das eigene Netzwerk beschränkt angesehenen Angriffe sich mit Hilfe von JavaScript-Engines in Browsern auch auf entfernte Ziele erweitern lassen. Ein entfernter, nicht authentisierter Angreifer kann dies mit Hilfe speziell präparierter Webseiten ausnutzen, um Daten von anderen Webseiten auszulesen (und damit die Same-Policy-Origin zu umgehen) oder Daten aus dem Browser selbst auszuspähen. Für Mozilla Firefox steht ein Sicherheitsupdate auf Version 57.0.4 zur Verfügung, mit dem zwei Maßnahmen gegen solche Angriffe umgesetzt werden. Da die bisher bekannt gewordenen Angriffe präzise Zeitmessungen erfordern, wird mit diesem kurzfristigen Update zum einen die Präzision einer zur Zeitmessung verwendeten Funktion herabgesetzt und zum anderen ein Puffer (SharedArrayBuffer), aus dem sich ein präziser Timer konstruieren lässt, deaktiviert. Mozilla weist darauf hin, dass der Puffer mit Firefox 52 ESR bereits deaktiviert wurde, macht aber keine weiteren Angaben zu diesem Produkt. Weiterhin wird dieses Update nicht als abschließende Problemlösung bezeichnet, es wird lediglich eine mögliche neue Klasse von Angriffen erschwert. Patch: Mozilla Foundation Security Advisory 2018-01: Speculative execution side-channel attack ("Spectre") https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
Patch:
Fedora Security Update FEDORA-2018-276558ff6f (Fedora 27,
firefox-57.0.4-1.fc27)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-276558ff6f
Patch:
Fedora Security Update FEDORA-2018-fb582aabcc (Fedora 26,
firefox-57.0.4-1.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-fb582aabcc
Patch:
Ubuntu Security Notice USN-3516-1
http://www.ubuntu.com/usn/usn-3516-1/
Patch:
Fedora Security Update FEDORA-2018-16a76da6cc (Fedora 27,
icecat-52.5.3-2.fc27)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-16a76da6cc
Patch:
Fedora Security Update FEDORA-2018-e1539d9bc6 (Fedora 26,
icecat-52.5.3-2.fc26)
https://bodhi.fedoraproject.org/updates/FEDORA-2018-e1539d9bc6
CVE-2017-5753: Schwachstelle in Implementierung der spekulativen
Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von
Informationen
Die Implementierung für die leistungssteigernde Technik ‘speculative
Execution of Instructions’ für verschiedene Mikroprozessordesigns ist
fehlerhaft. Bei der ‘speculative Execution of Instructions’ werden Annahmen
über das Ergebnis einer anderen Operation getroffen und zur Ausführung der
Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine
Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die
Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht
darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben.
U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht
zurückgesetzt.
Diese Schwachstelle deckt den Fall des ‘Bounds Check Bypass’ ab und wird im
Kontext der Veröffentlichung ‘Spectre’ genannt. Die Schwachstelle tritt auf,
wenn der Branch Predictor, der dem Prozessor die wahrscheinlichsten
zukünftigen Intruktionszweige zuspielt, manipuliert wird. Sie erfordert die
Existenz eines bestimmten Programmcodepatterns in der jeweiligen
Implementierung der spekulativen Instruktionsausführung oder die Generierung
eines entsprechenden Patterns über einen Interpreter oder eine
Just-in-Time-Engine. Ein vermutlich nicht authentisierter Angreifer im
benachbarten Netzwerk kann diese Schwachstelle ausnutzen, um spekulative
Instruktionen vom Betriebssystem oder Hypervisor hinter Speicher- und
Sicherheitsgrenzen zur Ausführung zu bringen und auf privilegierten Speicher
zuzugreifen.
CVE-2017-5715: Schwachstelle in Implementierung der spekulativen
Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von
Informationen
Die Implementierung für die leistungssteigernde Technik ‘speculative
Execution of Instructions’ für verschiedene Mikroprozessordesigns ist
fehlerhaft. Bei der ‘speculative Execution of Instructions’ werden Annahmen
über das Ergebnis einer anderen Operation getroffen und zur Ausführung der
Instruktion verwendet. Treffen die Annahmen zu, ist das Ergebnis eine
Beschleunigung der Verarbeitung. Treffen die Annahmen nicht zu, muss die
Instruktion zurückgesetzt werden. Der Fehler in der Implementierung besteht
darin, dass Seiteneffekte der Ausführung der Instruktion bestehen bleiben.
U.a. werden Änderungen am TLB (Translation Lookaside Buffer) nicht
zurückgesetzt.
Diese Schwachstelle deckt den Fall der ‘Branch Target Injection’ ab und wird
im Kontext der Veröffentlichung ‘Spectre’ genannt. Die Schwachstelle tritt
auf, wenn durch den betroffenen Programmcode ein indirekter Zweig (Branch)
vorliegt, dessen Zieladresse aus dem Speicher geladen wird. Durch Spülen
(flushing) der Cache-Zeile mit der entsprechenden Adresse aus dem Speicher
fehlt der CPU bei Erreichen des Zweigs das Sprungziel, so dass bis zur
notwendigen erneuten Berechnung der Adresse spekulativ Anweisungen
ausgeführt werden. Die dabei erfolgenden Speicherzugriffe allozieren auch
dann Speicher im Level 1 Data Cache des Mikroprozessors, wenn die
spekulativen Instruktionen später verworfen werden. Ein vermutlich nicht
authentisierter Angreifer im benachbarten Netzwerk kann diese Schwachstelle
ausnutzen, um Kernel-Programmcode an einer von ihm selbst kontrollierten
Speicheradresse zur Ausführung zu bringen und privilegierten Speicher unter
Umgehung der Syscall-Grenzen zu lesen. Die ausgespähten Informationen können
für weitere Angriffe verwendet werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0029/
Schwachstelle CVE-2017-5715 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5715
Schwachstelle CVE-2017-5753 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5753
Mozilla Foundation Security Advisory 2018-01: Speculative execution
side-channel attack (“Spectre”):
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
Mozilla Security Blog: Mitigations landing for new class of timing attack:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Fedora Security Update FEDORA-2018-276558ff6f (Fedora 27,
firefox-57.0.4-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-276558ff6f
Fedora Security Update FEDORA-2018-fb582aabcc (Fedora 26,
firefox-57.0.4-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-fb582aabcc
Ubuntu Security Notice USN-3516-1:
http://www.ubuntu.com/usn/usn-3516-1/
Fedora Security Update FEDORA-2018-16a76da6cc (Fedora 27,
icecat-52.5.3-2.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-16a76da6cc
Fedora Security Update FEDORA-2018-e1539d9bc6 (Fedora 26,
icecat-52.5.3-2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-e1539d9bc6
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.