Mozilla的NSS加密库爆出重大安全漏洞,可能会影响多个软件,攻击者可以利用该漏洞使应用程序崩溃,甚至能执行任意代码,目前Mozilla已推出针对NSS加密库的修复程序。
该漏洞号为 CVE-2021-43527,由Google报告并取代号为 BigSig,影响 3.73 或 3.68.1 ESR 之前的 NSS 版本,并且在验证使用DER二进制格式编码的DSA和RSA-PSS算法等数字签名时涉及堆溢出漏洞。
根据网络安全行业门户极牛网JIKENB.COM的梳理,在处理 DER 编码的 DSA 或 RSA-PSS 签名时,3.73 或 3.68.1 ESR 之前版本的 NSS 加密库容易出现堆溢出,使用 NSS 处理在 CMS、S/MIME、PKCS #7 或 PKCS #12 中编码的签名的应用程序可能会受到影响。
NSS 是一组开源加密计算机库,旨在支持客户端-服务器应用程序的跨平台开发,支持 SSL v3、TLS、PKCS #5、PKCS #7、PKCS #11、PKCS #12、S/ MIME、X.509 v3 证书和其他安全标准。
该漏洞是由于缺少边界检查而导致的,该漏洞可能允许执行任意攻击者控制的代码,据说可以追溯到 2012 年 6 月。虽然该漏洞不会影响 Mozilla 的 Firefox 网络浏览器本身,但电子邮件客户端、PDF 查看器和其他依赖 NSS 进行签名验证的应用程序都被认为容易受到该漏洞的威胁。
来源:极牛网
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!