Mozilla推出了修复程序,以解决其跨平台网络安全服务中的一个关键安全漏洞(网络安全系统(Network Security Services))加密库,可能会被对手利用来破坏易受攻击的应用程序,甚至执行任意代码。
追踪为CVE-2021-43527,该缺陷影响3.73或3.68.1 ESR之前的NSS版本,并涉及堆溢出验证数字签名时的漏洞,例如目录系统代理(Directory System Agent)和RSA-PSS使用引伸出(derive的缩写)二进制格式。谷歌零项目的塔维斯·奥曼迪报道了这一问题,并为其命名BigSig。”
Mozilla表示:“ESR 3.73或3.68.1之前的NSS(网络安全服务)版本在处理DER编码的DSA或RSA-PSS签名时容易发生堆溢出。”说在周三发表的一份咨询报告中。使用NSS处理在CMS、S/MIME、PKCS #7或PKCS #12中编码的签名的应用程序可能会受到影响
NSS是一个开源密码计算机库的集合,旨在实现客户端-服务器应用程序的跨平台开发,支持SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/MIME、X.509 v3证书和其他安全标准。
该bug是边界检查缺失的结果,可能允许执行攻击者控制的任意代码,据说可以追溯到2012年6月,“这个漏洞的惊人之处在于它有多简单,”奥曼迪说说在一篇技术文章中。
虽然BigSig的缺点不会影响Mozilla的Firefox网络浏览器本身、电子邮件客户端、PDF查看器以及其他依赖NSS进行签名验证的应用程序,例如红衣主教雷鸟、自由办公室、进化和证据被认为是易受攻击的。
“这是NSS记忆腐败的一个主要缺陷,几乎任何对NSS的使用都受到影响,”奥曼迪说发推。“如果您是一家在产品中分销NSS的供应商,您很可能需要更新或反向支持该补丁。”
来源:千羽伪装
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!