Update: Kritische Sicherheitslücken in Cisco OpenH264 Library - Mozilla Firefox doch nicht betroffen

27. November 2014

Update 28. November 2014
Wie in einem Bugreport bei Mozilla (#1105688) nachzulesen ist, scheint Firefox doch nicht von diesem Problem betroffen zu sein. Es scheint sich hier um einen Fehler in der Liste der laut Cisco betroffenen Versionen zu handeln - es dürften nur Versionen der Library vor 1.1 betroffen sein, Firefox benutzt aber 1.1.
Nutzer von Mozilla Firefox sollten also das OpenH264 Plugin wieder problemlos aktivieren können.

Beschreibung

Cisco hat zwei Warnungen bezüglich ihrer OpenH264 Library veröffentlicht, die Remote Code Execution in Applikationen, die diese Library verwenden, ermöglichen.
Dies scheint unter anderem aktuelle Versionen von Mozilla Firefox zu betreffen.

Es ist momentan nicht bekannt, ob diese Schwachstellen schon aktiv ausgenützt werden, ausgehend von der Verbreitung von Mozilla Firefox und da jetzt Details bekannt sind, ist aber davon auszugehen, dass dies bald massenhaft versucht werden wird.

Auswirkungen

Der Angreifer kann nach erfolgtem Ausnutzen dieser Lücken potentiell beliebigen Code auf betroffenen Clients ausführen. Da die Library üblicherweise verwendet wird, um auf Webseiten eingebettete Videos anzuzeigen, kann ein Angreifer leicht Links auf entsprechend präparierte Seiten etwa per Spam-Mail verschicken.

Dadurch sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, Datenbank etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Betroffen sind alle Systeme, auf denen diese Library in Versionen bis inkl. 1.2.0 eingesetzt wird - das sind unserem aktuellen Wissensstand nach unter anderem:
  • alle Systeme, auf denen der Web-Browser Mozilla Firefox in aktuellen Versionen (vermutlich alle Versionen ab 32) installiert ist

Andere Software kann durchaus auch diese Library integrieren, es liegen uns derzeit aber noch keine Informationen darüber vor. So bald wir hier weitere Informationen bekommen, werden wir hier updaten.

Abhilfe

Software-Hersteller

Für Software, die Cisco OpenH264 Library integriert bzw. extern eingebunden hat, sollte darauf geachtet werden, dass dies in aktueller Version (>1.2.0) geschieht.

Client-PCs

Clients, auf denen Mozilla Firefox installiert ist, sollten, bis Detailinformationen von Mozilla direkt verfügbar sind, sicherheitshalber das OpenH264 Plugin deaktivieren.
Dies kann via Einstellungen->Addons->Plugins durchgeführt werden. Es kann hierdurch natürlich zu Einschränkungen in der Benutzbarkeit von Webseiten die H264 zur Anzeige von Videos einsetzen, geben.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Cisco Vulnerability Alert zu "OpenH264 Media Processing Use-After-Free Vulnerability" (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=36501
Cisco Vulnerability Alert zu "OpenH264 Media Processing Buffer Overflow Vulnerability" (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=36500
Blog Post von Andreas Gal zu Mozilla Firefox und dem OpenH264 Plugin (englisch)
http://andreasgal.com/2014/10/14/openh264-now-in-firefox/
Webseite des OpenH264 Projekts (englisch)
http://www.openh264.org/
Artikel bei Golem.de, inkl. Update dass Mozilla Firefox nicht betroffen sein sollte
http://www.golem.de/news/cisco-fehler-in-h-264-plugin-betrifft-alle-firefox-nutzer-1411-110829.html
Bugreport #1105688 bei Mozilla, in dem ein Statement eines Cisco-Mitarbeiters zum Thema ist (englisch)
https://bugzilla.mozilla.org/show_bug.cgi?id=1105688